Вредоносное ПО (Обзор)

[lastmylove]

Worm_Nuvar.arc

Признаки, действие и защита

При первом запуске копирует себя в директорию Windows (%Windows%\spooldr.exe. Записывает драйвер-руткит в системную директорию Windows (%System%\spooldr.sys).

Модифицирует драйвер TCP/IP (%System%\dllcache\tcpip.sys и %System%\drivers\tcpip.sys

Распространяется по электронной почте, рассылая письма с предложением получить электронную открытку и ссылкой на вредоносный код (файл SuperLaugh.exe), расположенный на одном из более чем 50 сайтов без доменного имени. По ссылке содержится изображение смеющегося кота и ссылка на копию червя "Click Here To Get Your personal Kitty Card from Psycho Cat".

ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Червь для платформы Windows с функционалом руткита. Распространяется по электронной почте, предлагая принять открытку якобы с легального сайта открыток. Вредоносный сайт содержит фотографию смеющегося котенка.

источник: TrendMicro.com

[lastmylove]

W32.Debanpass

Признаки, действие и защита

При первом запуске создает файлы:


%System%\crase.exe
%System%\winebay.exe
%System%\url.tmp
%System%\dde.st
C:\tmpsss.log
C:\xxjsnxx.tmp



Обеспечивает себе автозагрузку, создавая в реестре следующую запись:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe,,crase.exe"



Распространяется, копируя себя в корень всех дисков под именем autorun.inf. Этот файл запускается автоматически при подключении диска к системе.

Крадет банковские реквизиты при посещении сайтов через Internet Explorer. В частности, сохраняет формы, содержащие следующий текст:


CN
SIGN IN
M/X/J
PLEASE SIGN IN
Y/Y/P/A/A
ACCEDI
YDL
IDENTIFICARSE
XBY
EINLOGGEN
R/D/D
EBAY - SIGN IN
M/F
EBAY
INLOGGEN
H/B
OUVRIR UNE
ZALOGUJ
[НЕКОТОРЫЕ_КИТАЙСКИЕ_СИМВОЛЫ]



Собранная информация отправляется на сайт [http://]www.ddebay.com[УДАЛЕНО]

ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все диски; крадет банковские реквизиты, а также реквизиты сайта eBay, при вводе их в Microsoft Internet Explorer и отправляет их на веб-сайт атакующего.

источник: Symantec.com

[Deementor]

Trojan.Quimkit
признаки, действия и защита

При запуске открывает TCP-порт 554 (стандартный порт для серверов потокового видео Apple QuickTime); отправляет всем пользователям, подключившимся к серверу, shell-код, эксплуатирующий критическую уязвимость в Apple QuickTime Player

Apple QuickTime Player 7.3 содержит уязвимость к удаленному выполнению произвольного кода при получении специально сформированного ответа RTSP от сервера.

Уязвимость связана с отсутствием проверки граничных значений поля "Content-Type" в ответе RTSP-сервера перед копированием их в стековый буфер фиксированной длины.

Условием эксплуатации уязвимости является подключение пользователя к вредоносному серверу, например, переход по ссылке на QTL-файл, содержащий ссылку на вредоносный сервер.

к выполнению кода в ответах RTSP-сервера.

ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур

Действие

Концептуальный троян для платформы Windows, эксплуатирующий критическую уязвимость в Apple QuickTime Player к выполнению кода в ответах RTSP-сервера.

©Symantec

Backdoor.Pharvest
признаки, действия и защита

Признаки

При старте копирует себя как %System%\crehcjid.dll.
Создает копию explorer.exe: %System%\explorer.exe.bak и драйвер %System%\tcpip_patcher.sys.

Модифицирует точку входа в %Windir%\explorer.exe так, чтобы при запуске сначала запускалась копия трояна.

Устанавливает tcpip_patcher.sys как сервис.

Собирает адреса электронной почты Outlook Experss, находя необходимые пути через реестр:
HKEY_CURRENT_USER\Software\Microsoft\Outlook Express

Подключается к 208.72.169.10:41001(TCP), обеспечивая атакующему "черный ход".
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Обеспечивает атакующему "черный ход" на захваченный компьютер, собирает адреса электронной почты.

©Symantec

[Abai]

Русские антивирусы провалили тест Virus Bulletin

для тех кому интерестно:
http://cnews.ru/news/top/index.shtml?2007/12/10/278736
http://www.viruslist.com/ru/analysis...261388#avtests
http://www.av-comparatives.org/
ОБСУЖДЕНИЕ

[Dark Rainfal]

(c) virusinfo.info

Ссылка на описание и лечение вируса.
virusinfo.info/showthread.php?p=161534

Trojan.Win32.BHO.abo

Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

[garikkirag]

ВСЕМ для инфы

WinNT.Annigilator v0.1
WinNT.Annigilator v0.1 - полиморфный вирус, написанный на ассемблере (~5000 строк, 75кб) Размер: 7кб. К вирусу прилагается программа-редактор списков плагинов, тоже написанная на ассемблере. Программа имеет русский интерфейс. Сделан только для nt систем и на 9х не работает. Автор: xh4ck
Уникальные возможности:
- Поддержка плагинов. Скачивается список плагинов с сервера, производится обновление плагинов, и, если нужно - удаление. Вся дополнительная функциональность реализована в виде плагинов (exe или dll)
- Каждый плагин может находиться на отдельном сервере и иметь любой размер (в разумных пределах)
- Вирус заражает все файлы, запущенные после него. Для этого он замещает функцию CreateProcessInternalW (см. комментарии в коде) Метод заражения: увеличение размера последней секции, оверлей файла не трогается.
- Вирус не заражает установочные файлы и файлы с большим размером (чтобы не отнимать память и не замедлять работу компьютера) - Если вирус запустить с параметром "-infect %file%", где %file% - любой exe-шник. Вирус заразаит этот файл и завершит свою работу.
- Шифрование: вирус при шифровании использует несколько различных ключей и обратимых операций.
- Полиморфизм: каждый раз процедура шифрования генерируется заново и имеет всегда различный код, каждая операция представлена несколькими ее вариантами, + используется генератор мусорных инструкций, что в сумме позволяет добиться почти полной неповторимости кода. - При заражении незначительно увеличивает размер файла
- Обходит файрвол
- Не имеет собственного процесса и использует перпроцессную резидентность
Плагины:
- Тырелка всех паролей на основе Pinch2Alpha, код доработан
- HTTP прокси сервер
- SOCKS 5 прокси сервер.
Исходняки прилагаются.
http://hellknights.void.ru/releases/WinNTAnnigilatorv01.rar

++++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader. Win32.Small.skn
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Упакована UPX. Размер файла — около 6 КБ. Размер в распакованном виде — около 32 КБ.
Деструктивная активность
После запуска программа проверяет наличие выполняющейся своей второй копии, если таковая имеется, то программа завершает свою работу.

В противном случае, программа получает из интернета список URL, с которых должна производиться загрузка вредоносных программ и сохраняет его в зашифрованном виде в файле svcp.csv в системном каталогеWindows. После этого загружает указанные файлы и запускает их. Файлы сохраняются в системном каталоге Windows с их оригинальными именами.
Программа для хранения своих данных также использует файл winsub.xml в системном каталоге Windows и следующий ключ реестра:
[HKEY_CURRENT_USER]
"WindowsSubVersion"

+++++++++++++++++++++++++++++++++++++
Trojan-Downloader. Win32.Getfiles
Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на языке Borland Delphi. Ничем не упакована. Размер зараженного файла — 43008 байт.
Деструктивная активность
После запуска программа загружает из Интернета файл http://www.alibaba***.net/teens.exe (на момент создания описания данная ссылка не работала) и сохраняет его в корневой каталог Windows:
%Windir%\teens.exe
После чего скаченный файл запускается на исполнение.
В различных версиях данного троянца имя скаченного файла может варьироваться.
Другие названия
Trojan-Downloader.Win32.Getfiles («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Getfiles («Лаборатория Касперского»), Generic Downloader.c (McAfee), Downloader (Symantec), Trojan.DownLoader.43008 (Doctor Web), TrojanDownloader:Win32/Erom (RAV), TROJ_EROM.A (Trend Micro), TR/Dldr.Getfiles.3 (H+BEDV), Downloader.Getfiles (Grisoft), Trojan.Downloader.Getfiles.B (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.GetFiles.A (Eset)

++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader.Win32. Small.cop
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Ничем не упакована. Размер зараженного файла — 3584 байта.
Деструктивная активность
После запуска троянец ждёт подключения зараженного компьютера к интернету. После чего пытается загрузить файл с URL http://**.249.23.82/ntraf12.dat и сохранить его во временном каталоге Windows под именем msdoc.exe:
%Temp%\msdoc.exe
На момент создания описания данная ссылка не работала.
После сохранения на диске загруженный файл запускается на исполнение.
Также троянец производит HTTP-запросы к различным URL, в которых указывается уникальный идентификатор компьютера.

+++++++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader.Win32. Small.cjs
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Написана на Visual C++. Упакована UPX. Размер зараженного файла — 13824 байта. Размер распакованного — около 46 КБ.
Деструктивная активность
После запуска троянец загружает с URL http://www.www2.p***2.com другую троянскую программу и запускает ее. При этом оригинальный запускаемый файл удаляется.
В свою очередь скачанный троянец может загружать из интернета различные рекламные программы и запускать их на зараженном компьютере.

++++++++++++++++++++++++++++++++++++++++++++++++++
Virus.Win32. Cornad
Файловый вирус. Представляет собой Windows PE EXE-файл. Имеет размер 4096 байт. Имеет функцию копирования на диск A:.
Деструктивная активность
При запуске ищет файлы с расширением .exe в текущем каталоге, копирует имя файла и сохраняет исходный файл как .exe.acid, изменяя атрибуты файла на «скрытый» и «только для чтения». А непосредственно сам вирус копируется в файл с оригинальным именем заражаемого файла.
Также в корневом каталоге Windows вирус создает файл с именем CornishAcid.txt:
%Windir%\CornishAcid.txt
Данный файл имеет следующее содержание:
w32.CornishAcid-
Written on a fine thursday evening, by Kefi...
Just for something to do other than sit on my ass...)
Есливдисководвставленадискета, товирускопируетсянанеёвкорневуюдиректориювфайлсименем CornishAcid.exe.
Другиеназвания
Virus.Win32.Cornad («ЛабораторияКасперского») такжеизвестенкак: Win32.Cornad («ЛабораторияКасперского»), W32/Corn.cmp (McAfee), Trojan Horse (Symantec), Win32.Kefi.4096 (Doctor Web), W32/Corn-A (Sophos), Win32/Corn.A (RAV), PE_CORN.A (Trend Micro), W32/CornIsAcid.2 (H+BEDV), W32/Cacid.A (FRISK), Win32:Cornad (ALWIL), Win32/Cornish.A (Grisoft), Win32.HLLC.CornAcid.4096 (SOFTWIN), W32.Cacid.A (ClamAV), W32/Cornd.A (Panda), Win32/HLLC.Cidor.A (Eset)

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++
Virus.Win32. Bobep
Файловый вирус. Представляет собой Windows PE EXE-файл. Работает под операционной системой Windows 98.
Деструктивная активность
При запуске ищет файлы с расширением exe в текущем каталоге и в корневом каталоге Windows (%WinDir%), копирует имя файла и сохраняет исходный файл как .sys, а сам переименовывает себя в .exe.
Система продолжает работать до того момента пока не будет запущен один из зараженных файлов Windows. При перезагрузке или выключении компьютера, система зависнет и больше не загрузится.
Присутствует проверка на наличие запущенных антивирусов.
Вирус ищет следующие строки в заголовках окон:
AVP Monitor
FP-WIN
McAfee VShield
NAVAPW32
SCAN32
И если находит, то закрывает эти окна.
Содержит следующую строку:
Win32.Bebop coded by DiA ©2003 [GermanY]
Другие названия
Virus.Win32.Bobep («Лаборатория Касперского») также известен как: Win32.Bobep («Лаборатория Касперского»), W32/Bobep.cmp.a (McAfee), W32.Bopeb (Symantec), Win32.Bebop.8192 (Doctor Web), W32/Bobep-A (Sophos), Win32/Bobep.A (RAV), PE_BOBEP.A (Trend Micro), W32/Bebop.A (FRISK), Win32:Bobep (ALWIL), Win32/Bobep.A (Grisoft), Win32.Bobep.A (SOFTWIN), W32/Bobep.A (Panda), Win32/Bobep.A (Eset)

[garikkirag]

Trojan.Win32. Qhost.hl

Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 2189 байт.
Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к некоторым сайтам (большинство из которых — сайты антивирусных компаний и сервера с обновлениями антивирусных баз).

В файл hosts добавлены следующие строки:
10.0.0.5 avp.com
10.0.0.5 kaspersky.com
10.0.0.5 kaspersky-labs.com
10.0.0.5 updates1.kaspersky.com
10.0.0.5 updates2.kaspersky.com
10.0.0.5 updates3.kaspersky.com
10.0.0.5 updates-us1.kaspersky.com
10.0.0.5 downloads1.kaspersky.com
10.0.0.5 downloads-us1.kaspersky.com
10.0.0.5 www.avp.com
10.0.0.5 www.kaspersky.com
10.0.0.5 d-ru-1f.kaspersky-labs.com
10.0.0.5 d-ru-1h.kaspersky-labs.com
10.0.0.5 d-ru-2f.kaspersky-labs.com
10.0.0.5 d-ru-2h.kaspersky-labs.com
10.0.0.5 d-eu-2f.kaspersky-labs.com
10.0.0.5 d-eu-2h.kaspersky-labs.com
10.0.0.5 d-eu-1f.kaspersky-labs.com
10.0.0.5 d-eu-1h.kaspersky-labs.com
10.0.0.5 d-us-1f.kaspersky-labs.com
10.0.0.5 d-us-1h.kaspersky-labs.com
10.0.0.5 downloads1.kaspersky.ru
10.0.0.5 downloads2.kaspersky.ru
10.0.0.5 downloads3.kaspersky.ru
10.0.0.5 downloads4.kaspersky.ru
10.0.0.5 downloads5.kaspersky.ru
10.0.0.5 eset.com
10.0.0.5 www.eset.com
10.0.0.5 u2.eset.com
10.0.0.5 u3.eset.com
10.0.0.5 u4.eset.com
10.0.0.5 u7.eset.com
10.0.0.5 82.165.250.33
10.0.0.5 82.165.237.14
10.0.0.5 www.nod32.com
10.0.0.5 nod32.com
10.0.0.5 eset.casablanca.cz
10.0.0.5 casablanca.cz
10.0.0.5 customer.symantec.com
10.0.0.5 liveupdate.symantec.com
10.0.0.5 liveupdate.symantecliveupdate.com
10.0.0.5 securityresponse.symantec.com
10.0.0.5 symantec.com
10.0.0.5 update.symantec.com
10.0.0.5 updates.symantec.com
10.0.0.5 www.symantec.com
10.0.0.5 www.norton.com
10.0.0.5 norton.com
10.0.0.5 mast.mcafee.com
10.0.0.5 mcafee.com
10.0.0.5 rads.mcafee.com
10.0.0.5 www.mcafee.com
10.0.0.5 mcafee.com
10.0.0.5 us.mcafee.com
10.0.0.5 dispatch.mcafee.com
10.0.0.5 download.mcafee.com
10.0.0.5 metalhead2005.info
10.0.0.5 my-etrust.com
10.0.0.5 nai.com
10.0.0.5 networkassociates.com
10.0.0.5 secure.nai.com
10.0.0.5 sophos.com
10.0.0.5 trendmicro.com
10.0.0.5 viruslist.com
10.0.0.5 viruslist.com
10.0.0.5 www.ca.com
10.0.0.5 www.f-secure.com
10.0.0.5 www.microsoft.com
10.0.0.5 www.my-etrust.com
10.0.0.5 www.nai.com
10.0.0.5 www.networkassociates.com
10.0.0.5 www.sophos.com
10.0.0.5 www.trendmicro.com
10.0.0.5 www.viruslist.com
10.0.0.5 ca.com
10.0.0.5 d66.myleftnut.info
10.0.0.5 f-secure.com

Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.

Trojan-Spy.HTML. Wamufraud.ai

Троянская программа, использующая спуфинг-технологию. Реализована в виде поддельной HTML-страницы. Предназначена для кражи конфиденциальной информации клиентов Washington Mutual Bank.

Рассылается по электронной почте под видом важного сообщения от WAMU.
В письме содержится ссылка, в которой использована уязвимость Frame Spoof в Internet Explorer.
Уязвимость Frame Spoof (MS04-004) присутствует в 5.x и 6.x версиях Microsoft Interner Explorer. Компанией Microsoft был опубликован специальный документ, в котором приведено описание данной уязвимости и даны рекомендации по распознаванию подобных ложных ссылок.
Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению счетом пользователя.

Trojan-Downloader. Win32.PurityScan.d

Троянская программа-загрузчик, предназначенная для скачивания из интернета без ведома пользователя рекламной информации и ее отображения на экране зараженного компьютера.

Программа является приложением Windows (PE EXE-файл). Имеет размер 352256 байта. Написана на С++.
Деструктивная активность
После запуска троянец ждет соединения с интернетом, после чего выполняет следующие действия:
* отправляет информацию о времени установки троянского компонента на компьютер пользователя в зашифрованном виде на следующий URL:
www.clickspring.net/p***/.....
* скачивает в зашифрованном виде по HTTP-протоколу конфигурацию для работы по следующей ссылке:

campaigns.*****info.com/campaigns.encrypted
Скачанные данные сохраняются в файл campaigns.txt, который находится в кеше браузера Internet Explorer.
После этого троянец скачивает по HTTP-протоколу файлы из полученной конфигурации по следующей ссылке:
campaigns.*****info.com/campaigns.....
Файлы сохраняются в кеше веб-браузера Internet Explorer. Содержимое этих файлов — графическая информация в упакованном виде, имеющая рекламное содержание.
Данные из скачанных файлов троянец позже использует для показа пользователю всплывающих окон с рекламой.
Другие названия
Trojan-Downloader.Win32.PurityScan.d («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.PurityScan.d («Лаборатория Касперского»), Trojan.ValueAd (Doctor Web), Troj/PurScan-D (Sophos), TrojanDownloader:Win32/PurityScan.D (RAV), TR/Dldr.PurityScn.D (H+BEDV), Win32:PurityScan-D (ALWIL), Downloader.Purityscan.K (Grisoft), Trojan.Dropper.Purityscan.I (ClamAV), Adware/PurityScan (Panda), Win32/TrojanDownloader.PurityScan.D (Eset)

Trojan-Downloader. Win32.Akcom.10

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на языке Delphi. Размер зараженного файла — 187904 байта. Упакована UPX. Размер распакованного файла — около 500 КБ.
Деструктивная активность
Троянская программа состоит из двух файлов, первый из которых является исполняемым файлом (размер — около 16 КБ), а второй — его конструктором (размер – 187904 байта).
С помощью конструктора задаются параметры действий исполняемого файла, такие как путь к файлу, который необходимо скачать из интернета, имя файла и папка, в которую сохраняется скачанный файл.
После запуска исполняемого файла он скачивает ранее заданный злоумышленником файл из интернета и сохраняет его в заданную папку на локальном компьютере.
Другие названия
Trojan-Downloader.Win32.Akcom.10 («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Akcom.10 («Лаборатория Касперского»), Downloader.cfg (McAfee), Downloader.Trojan (Symantec), Trojan.Kcom (Doctor Web), Troj/WebDL (Sophos), TrojanDownloader:Win32/Aphex.0_20 (RAV), TROJ_AKCOM.10 (Trend Micro), Win32:Trojan-gen. (ALWIL), Downloader.Akcom (Grisoft), Trojan.Downloader.Akcom.10 (SOFTWIN), Trj/W32.Akcom (Panda), Win32/TrojanDownloader.Akcom.10 (Eset)

Backdoor.Win32. SdBot.at

Троянская программа, позволяющая злоумышленнику удаленно выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.
Программа является динамической библиотекой Windows (PE DLL-файл). Написана на Visual C++. Размер файла — 43520 байт, ничем не упакован.

Бэкдор инсталлируется в систему при помощи другой вредоносной программы.
Деструктивная активность
Бэкдор пытается запустить следующие файлы:
%system%\nstask32.exe
%system%\tftp.exe
Предполагается, что они уже были загружены из сети при помощи другой вредоносной программы.
Бэкдор создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "NDplDeamon"="nstask32.exe"
И изменяет следующее значение:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "shell"="explorer.exe nstask32.exe"
Бэкдор открывает произвольный порт зараженного компьютера, после чего соединяется с удаленным IRC-сервером. После чего подсоединяется к специальному IRC-каналу, по которому получает команды от злоумышленника. По команде бэкдор может выполнять следующие действия:

* сканировать сеть в поисках машин, подверженных некоторым популярным уязвимостям;
* копировать и запускать себя на уязвимых машинах;
* запускать HTTP- и TFTP-сервера;
* создавать и менять значения ключей в реестре;
* загружать, выгружать и запускать файлы;
* открывать командную оболочку (cmd);
* считывать системную информацию;
* сканировать клавиатурные нажатия;
* совершать DoS-атаки;
* сканировать IP адреса и порты;
* перехватывать пакеты ICMP, FTP, IRC;
* создавать SYN- и ICMP-флуд;
* открывать TCP- и UDP-порты;
* посылать TCP- и UDP-пакеты.
Другие названия
Backdoor.Win32.SdBot.at («Лаборатория Касперского») также известен как: Backdoor.SdBot.at («Лаборатория Касперского»), W32/Spybot.worm.dll (McAfee), W32.Randex.E (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A (Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro), Worm/Sdbot.39936.B (H+BEDV), Win32:RPCexploit (ALWIL), IRC/BackDoor.SdBot.MJ (Grisoft), Backdoor.SDBot.40B56FB5 (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Bck/SdBot (Panda), Win32/IRC.SdBot.AV (Eset)

[lastmylove]

Червь W32.Korron.A

Описание

Признаки

При запуске создает следующие файлы:

* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt
* %UserProfile%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
* %System%\IExplorer.exe
* %System%\MrHello.scr
* %System%\shell.exe
* %Windir%\msvbvm60.dll
* %Windir%\r0nk0r.exe
* %Windir%\r0nk0r.vbs.jpg
* %Windir%\Setup.exe
* %SystemDrive%\Puisiku.txt
* %SystemDrive%\r0nk0r\Folder.htt
* %SystemDrive%\r0nk0r\Poto wow.exe
* %SystemDrive%\r0nk0r.exe


Копирует себя на все локальные, съемные и сетевые диски, которым присвоена буква: создает в корне файлы "Data Administrator.exe" и "desktop.ini".

Обеспечивает себе автозагрузку при старте Windows и при открытии ряда файлов. Для этого делает в реестре следующие записи:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"LoggonAdministrator" = "%SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Sysmontrng" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICE.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"r0nk0r" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"ServiceAdministrator" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\docfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xlsfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\IExplorer.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(defa ult)" = "File Folder"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"


Создает в реестре следующие записи:

* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
* HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\system32\MRHELL~1.SCR"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"


Модифицирует следующие записи реестра (указаны новые значения ключей):

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Debugger" = ""C:\WINDOWS\system32\Shell.exe""
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1"


Завершает процессы, содержащие в названии следующие строки:

* AN'SAV
* ANSAV
* ANTI
* ASM
* AVS
* BUG
* DBG
* DETEC
* HEX
* NOD32
* OPTIONS
* PCMAV
* PROC
* REG
* S M A D A V
* SCAN
* SCANNER
* SECURITY
* SMADAV
* TASK
* VIRUS
* W32
* WALK


Может попытаться открыть на захваченном компьютере созданный им текстовый файл:

* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt


Файл содержит следующий текст:

Maaf
================================================
Maaf
Apa yang kulakukan tak dapat kumaafkan
Benar[УДАЛЕНО]r.a
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски, включая съемные. Снижает уровень защищенности системы.

источник: Symantec.com

[lastmylove]

Червь W32.Joydotto

Описание

Признаки

При запуске создает следующие файлы:

* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Explorer.exe
* %Windir%\system.exe


Копирует себя на все диски: в корне создает свою копию под именем auto.exe и файл автозапуска AUTORUN.INF.

Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, System"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe, System"


Создает следующие записи в реестре:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Bkav2006.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCAPP.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FireTray.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEProt.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPLUS.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVOL.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXp_1.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWATCHUI.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kav.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KavPFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KpopMon.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kvsrvxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCAGENT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCVSESCN.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSKAGENT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvsvc32.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVMON.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVTIMER.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RRfwMain.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavService.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rtvscan.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHSTAT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBMon.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpdaterUI.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTray.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdss.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\far.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\icesword.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\worm2007.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe\"Debugger" = "system.exe"


Заменяет стартовые URL для Yahoo! Messenger:

* HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast\"content url" = "myebuddy.com"
* HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ buzz\"content url" = "myebuddy.com"


Отключает "Редактор реестра" и "Диспетчер задач":

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System\"DisableRegistryTools" = "1"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System\"DisableTaskMgr" = "1"


Через реестр отключает ряд настроек "Проводника" и другие настройки, для сокрытия своего присутствия в системе:

* HKEY_CURRENT_USER\Software\Microsoft\Command Processor\"EnableExtensions" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "myebuddy.com"
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\"PopupMgr" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{282f98e4-c1d2-11db-8515-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{56999cef-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "91"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoRun" = "1"
* HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel\"Homepage" = "1"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "2"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Shell Folders\"Common Startup" = "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"


Пытается обновить себя через http, подключаясь к следующим URL:

* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]
* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]


Ведет удаленную статистику заражений, обращаясь к следующему URL:

* [http://]70.86.197.82/~ohnishi/ranking/test[???]


Рассылает ссылки на себя через Yahoo! Instant Messenger:

* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]


Завершает процессы, содержащие следующие строки:

* BITDEFENDER
* BKAV
* ccEvtMgr
* ccProxy
* ccSetMgr
* D32
* Duba
* FireSvc
* GOOGLE.COM
* IceSword
* KPfwSvc
* KVSrvXP
* KVWSC
* McAfeeFramework
* McShield
* McTaskManager
* msctls_statusbar32
* MskService
* navapsvc
* NOD32
* NPFMntor
* RsCCenter
* RsRavMon
* Schedule
* sharedaccess
* SNDSrvc
* SPBBCSvc
* Symantec AntiVirus
* Symantec Core LC
* System Safety Monitor
* VirusScan
* Wrapped gift Killer
* wscsvc


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на все диски и рассылкой через Yahoo! Instant Messenger.

Загружает дополнительный вредоносный код; прерывает антивирусные процессы.

источник: Symantec.com

[lastmylove]

Червь Wow.SI

Описание

Признаки

При запуске открывает окно "Проводника", отображающее содержимое корня диска C:.

Подавляет предупреждения антивирусов Касперского. Ищет окна с именами "AVP.AlertDialog" и "AVP.Product_Notification" и закрывает их. Также завершает ряд процессов, принадлежащих другим антивирусам и инструментам защиты.

Периодически загружает с веб-сайта обновления.

При запуске создает следующие файлы в системной директории Windows (далее %sysdir%):

* AVMO.EXE и AVPO.EXE - копии червя
* AVPO0.DLL - загружает файл с обновлением червя
* WINCAB.SYS - руткит


Первым трем файлам присваиваются атрибуты "системный" и "скрытый". Через реестр червь отключает отображение файлов таких типов в "Проводнике", что затрудняет их визуальное обнаружение:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000002
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000000
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL \ "" = 00000000
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ "" = 00000091


Через реестр обеспечивает себе автозагрузку при каждом старте системы:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\avpo.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\amvo.exe


Также создает следующую запись в реестре:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ CLSID\ MADOWN \ "" = maver8m9


Регистрирует для руткита два сервиса (XSWEDFTG и ZXSDERFBUKJFYSHLHFRST) с автоматическим запуском:

* HKEY_LOCAL_MACHINE\ Registry\ Machine\ System\ CurrentControlSet\ Services\ xswedftg
* HKEY_LOCAL_MACHINE \ Registry\ Machine\ System\ CurrentControlSet\ Services\ zxsderfbukjfyshlhdfrst


Распространяется копированием себя на все диски, подключенные к системе. В корне каждого диска создает файл autorun.inf, обеспечивающий запуск при каждом подключении диска к системе.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Основное предназначение - хищение паролей к онлайн-играм (World of Warcraft, Lineage). Пытается завершить процессы, принадлежащие защитным приложениям. Использует руткит для сокрытия своего присутствия в системе. Распространяется копированием себя на все диски.

источник: PandaSecurity.com

[lastmylove]

Червь Chike.B

Описание

Признаки

При запуске создает свои копии:

* CHICKIE.EXE - в поддиректории inf директории Windows (далее %windir%)
* SVCHOST.EXE
* _FICHIERS.EXE и _SAVES.EXE - на съемных дисках


Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:

* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ chiCkie = %windir%\inf\chiCkie.exe
* HKEY_ALL_USERS\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "I just want to say I love Milko and I need a drink" = %user profiles%\Local Settings\Application Data\ svchost.exe


Отключает "Редактор реестра", "Восстановление системы", опцию "Завершить работу" в меню "Пуск", "Поиск" в меню "Пуск", пункт "Запуск" в меню "Пуск", опцию "Свойства папки" в "Проводнике", запрещает изменения в меню "Пуск":

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 01, 00, 00, 00
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore \ Disable SR = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ StartMenuLogOff = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFind = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoRun = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer \ NoSetFolders = 1


Написан на языке Delphi.
ЗАЩИТА

* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски.

Поступает на компьютер в виде исполняемого файла с иконкой, идентичной иконке папки.

источник: PandaSecurity.com

[lastmylove]

Червь Lineage.HIT

Описание

Признаки

При запуске создает свою копию в системной директории Windows (%sysdir%) под именем AVMO.EXE и библиотеку, отвечающую за загрузку обновлений - AVPO0.DLL.

Также копирует себя в корень всех дисков, которым присвоена буква. Там же создает файл autorun.inf, обеспечивающий автозагрузку при подключении диска к системе.

Обеспечивает себе автозагрузку при старте Windows. Делает в реестре следующую запись:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ amva = %sysdir%\amvo.exe


Через реестр отключает отображение скрытых и системных файлов, а также файлов операционной системы.

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ Hidden = 00, 00, 00, 00 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Предназначен для кражи паролей к онлайн-играм: Lineage: Lands of Aden, World of Warcraft, Maple Story, Legend of Mir.

Распространяется копированием себя на все диски; загружает свои обновления с веб-сайта атакующего.

источник: PandaSecurity.com

[lastmylove]

Червь Dung.A

Описание

Признаки

При старте создает следующие файлы:

* DC.EXE и SVIQ.EXE - в директории Windows (далее %windir%)
* OTHER.EXE - в поддиректории Help директории Windows
* FUN.EXE - в системной директории Windows (далее %sysdir%)
* WINSIT.EXE - в системной директории Windows
* WIN.EXE - в поддиректории config системной директории Windows
* XPEN.DAT - в системной директории Windows


В реестре создает следующие записи, обеспечивающие запуск червя при каждой загрузке Windows:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ Fun = %windir%\system\Fun.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc = %windir%\dc.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc2k5 = %windir%\SVIQ.EXE
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ run = %sysdir%\config\Win.exe


Изменяет параметры загрузки оболочки Explorer.exe, дописывая ссылку на себя (также для автозагрузки):

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe, %sysdir%\Winsit.exe
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ load = %windir%\inf\Other.exe


Исполняемый файл имеет стандартную иконку папки.

Через Yahoo! Messenger рассылает себя в случае, если данный IM-клиент установлен на компьютере и запущен. Рассылает себя по списку контактов всем, кто находится в онлайне, сопровождая файл сообщением. Одно из сообщений: Olalala, may tinh cua ban da dinh Worm DungCoi
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски и рассылкой копий через Yahoo! Messenger.

Открывает произвольный порт, ожидает инструкций, в частности, на отправку данных о системе и загрузку дополнительных модулей с заданного URI.

источник: PandaSecurity.com

[lastmylove]

Червь ManClick.A

Описание

Признаки

При старте открывает несколько окон Internet Explorer и загружает подставные сайты, имитирующие Google. В частности, http://clic[???]anu.com.

Среди результатов поиска данные сайты могут выдавать результаты, ведущие на троянские сайты для загрузки дополнительного вредоносного кода.

Через реестр отключает "Редактор реестра", "Диспетчер задач", опцию "Свойства папки" в "Проводнике", доступ к консоли (cmd.exe), опцию "Поиск" в меню "Пуск". Подменяет стартовую страницу Internet Explorer, отключает возможность загрузки в "Безопасном режиме". Предотвращает запуск ряда антивирусных и защитных приложений.

При старте создает следующие файлы:

* C:\AUTO.EXE
* SYSTEM.EXE - в директории Windows (далее %windir%)
* EXPLORER.EXE - в папке Автозагрузки (таким образом запускается при каждом старте Windows)
* C:\AUTORUN.INF


Для выполнения вышеуказанных действий по отключению и изменению настроек системы, делает в реестре следующие записи:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableTaskMgr = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableCMD = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFind = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1


Создает/модифицирует следующие записи реестра, если в системе установлен Yahoo! Messenger:

* HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_buzz \ content url = %сайт_атакующего%
* HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_Launchcast \ content url = %сайт_атакующего%


Создает в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Image File Execution Options записи, предотвращающие запуск следующих файлов защитных приложений:

* bdagent.exe
* bdss.exe
* Bkav2006.exe
* CCAPP.exe
* CCenter.exe
* cmd.exe
* EGHOST.exe
* far.exe
* FireTray.exe
* icesword.exe
* IEProt.exe
* Iparmor.exe
* Kav.exe
* kav32.exe
* KavPFW.exe
* KAVPLUS.exe
* kavstart.exe
* kavsvc.exe
* KpopMon.exe
* KRegEx.exe
* KVCenter.kxp.exe
* KVFW.exe
* KVMonXP.exe
* KVOL.exe
* kvolself.exe
* Kvsrvxp.exe
* KVSrvXp_1.exe
* kvwsc.exe
* KWATCHUI.exe
* livesrv.exe
* MAILMON.exe
* MCAGENT.exe
* MCVSESCN.exe
* MSKAGENT.exe
* Nvsvc32.exe
* PFW.exe
* RAVMON.exe
* RavMonD.exe
* RavService.exe
* RavTask.exe
* RAVTIMER.exe
* RfwMain.exe
* RRfwMain.exe
* Rtvscan.exe
* SHSTAT.exe
* TBMon.exe
* TrojDie.kxp.exe
* UpdaterUI.exe
* VPTray.exe
* vsserv.exe
* worm2007.exe
* xcommsvr.exe


Через реестр обеспечивает себе автозагрузку при каждом старте системы:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe, System
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Userinit = %sysdir%\userinit.exe, System


Через реестр заменяет стартовую страницу Internet Explorer:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Start Page = http://clic[???]anu.com


Удаляет из реестра записи, отвечающие за загрузку системы в "Безопасном режиме":

* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive


Иконка исполняемого файла идентична иконке папки.

Распространяется, копируя себя на все диски и сопровождая свою копию файлом autorun.inf, который обеспечивает запуск червя при подключении диска к системе.

Сжат UPX.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Перенаправляет трафик Google на подставной сайт, идентичный по дизайну. Распространяется копированием на все диски.

Легко распознается визуально: при запуске открывает несколько окон Internet Explorer, в которые загружает подставные сайты Google.

источник: PandaSecurity.com

[lastmylove]

Червь Ressentment.A

Описание

Признаки

При запуске пытается запустить бинарный файл winapp32, что приводит к выводу сообщения об отсутствии ассоциации системы с данным расширением файла, и файл открывается в "Блокноте".

Добавляет в пункт контекстного меню Windows "Send to" подпункт "Carpeta comprimida (en ZIP)". Такая опция уже существует в данном пункте меню и называется "Compressed (zipped) Folder". При выборе пользователем опции "Carpeta comprimida (en ZIP)", активируется копия червя.

Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке. На странице имеется кнопка "Actualizar" ("Обновить", испанский), при нажатии которой червь пытается отправить письмо по определённому адресу с сообщением о том, что двое сотрудников определённой компании должны быть уволены.

При запуске создает следующие файлы:

* FOLDER32.EXE - в системной директории Windows, копия червя
* MI MUSICA.EXE и MIS IMAGENES.EXE - в директории "Мои документы", копия червя
* CARPETA COMPRIMIDA (EN ZIP).EXE - в поддиректории "SendTo" директории "Documents and Settings" текущего пользователя, копия червя
* ERROR.HTM - в системной директории Windows
* Файлы с именами из 8 случайных символов с расширениями EXE, BAT, COM, PIF и SCR в директории Windows и системной директории Windows


Обеспечивает себе автозагрузку, делая в реестре следующие записи:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Folder32 = %sysdir%\folder32.exe


Для замены заголовка окна Internet Explorer делает в реестре запись:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Window Title = ELI Corportation LaBs 2007


Записывает в реестр признак заражения компьютера:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ CETEC \ WormVersion = 1.0


Модифицирует стартовую страницу Internet Explorer (через реестр):

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Start Page = file:///%sysdir%\error.htm


Распространяется копированием себя на все диски, записывая в корень два файла - SYSTEMVOLUMEINFORMATION.EXE и файл автозапуска AUTORUN.INF.

Написан на языке Visual Basic 6.0.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски. Иконка червя идентична иконке папки Windows.

Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке.

Пытается отправить письмо на определенный адрес с текстом о том, что двое сотрудников определенной компании должны быть уволены.

источник: PandaSecurity.com