.:NewName:.

Объявление

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » .:NewName:. » Хакерство » Описания вирусов, троянов ЗДЕСЬ.

Описания вирусов, троянов ЗДЕСЬ.

Страница: 1

Сообщений 1 страница 9 из 9

1

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Virus.VBS. Gum

ирус, нарушающий работоспособность компьютера. Имеет размер 1126 байт. Является HTML-файлом. Написан на Visual Basic Script.

Деструктивная активность

При запуске вирус снимает атрибут «Только чтение» со следующего файла:
С:\Windows\system.dat

Данный файл удаляется.

Также вирус удаляет файлы:
C:\autoexec.bat
C:\config.sys

Вредоносная программа создает файл «gum.mrc» в стандартном каталоге установки IRC-клиента Mirc:
С:\Mirc\gum.mrc

Далее в файл настроек Mirc «mirc.ini» вирус прописывает автозагрузку файла «gum.mrc».

Таким образом, всем пользователям при соединении с IRC-каналом, к которому подключен зараженный компьютер, отправляются файлы:
C:\Mirc\download\gum.html
C:\Mirc\download\gum.gif

Другие названия

Virus.VBS.Gum («Лаборатория Касперского») также известен как: VBS.Gum («Лаборатория Касперского»), MIRC/Generic (McAfee), VBS.Gum.A (Symantec), VBS.Gum (Doctor Web), VBS/mIRCGum (Sophos), VBS/Gum.A* (RAV), VBS_GUM.B (Trend Micro), VBS/Gum (H+BEDV), VBS/Gum.A (FRISK), VBS:Malware (ALWIL), VBS/Gum.A (Grisoft), VBS.Gum.A (SOFTWIN), VBS.Gum (ClamAV), VBS/Gum.A (Panda), HTML/ChewingGum.B (Eset)

Trojan.Win32. Qhost.fe

Троянская программа представляет собой модифицированный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 5942 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам. Достигается это путем добавления в файл «hosts» следующих строк:

Код:

145.122.155.213 avp.com
38.141.114.157 ca.com
63.185.237.164 customer.symantec.com
23.202.7.12 dispatch.mcafee.com
22.126.229.128 download.mcafee.com
212.174.152.172 downloads1.kaspersky-labs.com
201.205.219.0 downloads2.kaspersky-labs.com
230.135.169.2 downloads3.kaspersky-labs.com
196.184.0.188 downloads4.kaspersky-labs.com
53.28.155.139 downloads-eu1.kaspersky-labs.com
66.205.138.58 downloads-eu2.kaspersky-labs.com
118.140.98.217 downloads-eu3.kaspersky-labs.com
5.222.244.171 downloads-eu4.kaspersky-labs.com
33.122.75.254 downloads-us1.kaspersky-labs.com
23.22.204.3 downloads-us2.kaspersky-labs.com
127.9.83.63 downloads-us3.kaspersky-labs.com
31.216.18.81 downloads-us4.kaspersky-labs.com
70.37.16.156 f-secure.com
194.254.34.122 ftpavp.com
62.168.31.177 ftpca.com
149.211.58.176 ftpcustomer.symantec.com
128.64.57.85 ftpdispatch.mcafee.com
31.107.132.70 ftpdownload.mcafee.com
64.169.185.151 ftpdownloads1.kaspersky-labs.com
110.204.180.81 ftpdownloads2.kaspersky-labs.com
165.196.207.136 ftpdownloads3.kaspersky-labs.com
182.218.59.153 ftpdownloads4.kaspersky-labs.com
182.231.177.204 ftpdownloads-eu1.kaspersky-labs.com
135.165.124.87 ftpdownloads-eu2.kaspersky-labs.com
84.148.228.15 ftpdownloads-eu3.kaspersky-labs.com
141.246.168.201 ftpdownloads-eu4.kaspersky-labs.com
195.237.14.49 ftpdownloads-us1.kaspersky-labs.com
101.55.17.15 ftpdownloads-us2.kaspersky-labs.com
198.9.97.212 ftpdownloads-us3.kaspersky-labs.com
249.163.157.220 ftpdownloads-us4.kaspersky-labs.com
203.6.144.57 ftpf-secure.com
127.214.199.252 ftpgrisoft.com
33.128.86.222 ftpkaspersky.com
238.19.166.28 ftpkaspersky-labs.com
198.201.140.1 ftpliveupdate.symantec.com
25.240.149.112 ftpliveupdate.symantecliveupdate.com
193.244.78.96 ftpmast.mcafee.com
204.206.91.161 ftpmcafee.com
141.178.53.215 ftpmy-etrust.com
135.22.233.144 ftpnai.com
17.2.27.74 ftpnetworkassociates.com
180.206.47.229 ftpnorton.com
44.168.239.211 ftprads.mcafee.com
6.7.242.111 ftpsandbox.norman.com
81.127.164.91 ftpsecure.nai.com
210.133.68.86 ftpsecurityresponse.symantec.com
175.18.159.95 ftpsophos.com
9.203.246.152 ftpsymantec.com
238.137.63.45 ftpsymantecliveupdate.com
52.110.181.221 ftpsymatec.com
248.103.248.202 ftptrendmicro.com
137.186.157.156 ftpuk.trendmicro-europe.com
210.21.245.201 ftpupdate.symantec.com
145.164.238.253 ftpupdates.symantec.com
10.61.208.218 ftpupdates1.kaspersky-labs.com
214.18.70.42 ftpupdates2.kaspersky-labs.com
45.251.90.54 ftpupdates3.kaspersky-labs.com
38.233.114.83 ftpupdates4.kaspersky-labs.com
215.89.108.216 ftpus.mcafee.com
229.254.207.150 ftpviruslist.com
74.19.87.6 grisoft.com
246.190.53.175 kaspersky.com
152.190.81.164 kaspersky-labs.com
163.55.114.242 liveupdate.symantec.com
224.178.1.231 liveupdate.symantecliveupdate.com
41.108.98.165 mast.mcafee.com
22.194.20.196 mcafee.com
193.126.133.150 my-etrust.com
223.77.226.187 nai.com
207.153.180.151 networkassociates.com
123.24.42.113 norton.com
137.190.217.52 pandasoftware.com
65.122.207.26 rads.mcafee.com
189.85.68.202 sandbox.norman.com
39.222.186.43 secure.nai.com
167.147.1.102 securityresponse.symantec.com
92.11.181.107 sophos.com
81.45.209.116 symantec.com
119.59.234.198 symantecliveupdate.com
3.220.34.192 symatec.com
173.148.103.117 trendmicro.com
201.56.28.203 uk.trendmicro-europe.com
158.220.177.251 update.symantec.com
134.207.71.226 updates.symantec.com
47.7.114.107 updates1.kaspersky-labs.com
19.40.176.25 updates2.kaspersky-labs.com
241.18.166.124 updates3.kaspersky-labs.com
114.127.175.3 updates4.kaspersky-labs.com
37.54.106.123 us.mcafee.com
150.92.180.198 viruslist.com
183.219.79.123 virusscan.jotti.org 175.246.160.127 virustotal.com
235.111.61.226 wwwavp.com
15.235.187.110 wwwca.com
121.120.242.193 wwwcustomer.symantec.com
27.66.48.116 wwwdispatch.mcafee.com
77.135.1.124 wwwdownload.mcafee.com
82.61.150.235 wwwdownloads1.kaspersky-labs.com
208.243.233.63 wwwdownloads2.kaspersky-labs.com
89.130.153.194 wwwdownloads3.kaspersky-labs.com
201.105.193.206 wwwdownloads4.kaspersky-labs.com
164.15.161.237 wwwdownloads-eu1.kaspersky-labs.com
187.61.106.152 wwwdownloads-eu2.kaspersky-labs.com
165.121.16.167 wwwdownloads-eu3.kaspersky-labs.com
109.38.86.160 wwwdownloads-eu4.kaspersky-labs.com
140.139.20.129 wwwdownloads-us1.kaspersky-labs.com
107.175.222.54 wwwdownloads-us2.kaspersky-labs.com
159.31.134.70 wwwdownloads-us3.kaspersky-labs.com
34.9.172.1 wwwdownloads-us4.kaspersky-labs.com
25.89.212.167 wwwf-secure.com
15.165.173.86 wwwgrisoft.com
30.43.5.62 wwwkaspersky.com
117.163.26.97 wwwkaspersky-labs.com
59.41.193.96 wwwliveupdate.symantec.com
171.138.15.157 wwwliveupdate.symantecliveupdate.com
126.171.248.184 wwwmast.mcafee.com
116.220.174.29 wwwmcafee.com
18.72.138.189 wwwmy-etrust.com
105.105.92.36 wwwnai.com
117.145.132.243 wwwnetworkassociates.com
116.131.128.143 wwwnorton.com
185.174.246.245 wwwpandasoftware.com
94.248.222.138 wwwrads.mcafee.com
91.63.204.91 wwwsandbox.norman.com
100.96.254.29 wwwsecure.nai.com
28.142.188.233 wwwsecurityresponse.symantec.com
102.179.32.2 wwwsophos.com
127.155.201.146 wwwsymantec.com
31.192.65.203 wwwsymantecliveupdate.com
68.103.79.66 wwwsymatec.com
239.223.56.100 wwwtrendmicro.com
121.32.28.133 wwwuk.trendmicro-europe.com
56.9.86.204 wwwupdate.symantec.com
165.145.171.118 wwwupdates.symantec.com
199.38.160.63 wwwupdates1.kaspersky-labs.com
117.234.86.250 wwwupdates2.kaspersky-labs.com
79.198.23.142 wwwupdates3.kaspersky-labs.com
122.210.43.92 wwwupdates4.kaspersky-labs.com
240.154.133.229 wwwus.mcafee.com
133.203.203.161 wwwviruslist.com
91.61.242.205 wwwvirustotal.com

Таким образом, все запросы к данным серверам переадресовываются на заданные адреса.

Все это — результат деятельности другой вредоносной программы.

Virus.PHP. Zodar

Скриптовый вирус, заражающий файлы с расширением «.php». Имеет размер 669 байт. Написан на PHP.

Деструктивная активность

При запуске вирус ищет в текущей папке файлы с расширением «.php». В найденных файлах проверяет наличие строки:

[Zodar]

Если данная строка отсутствует, вирус записывает в файл свое тело, а после него — тело самого файла.

Другие названия

Virus.PHP.Zodar («Лаборатория Касперского») также известен как: PHP.Zodar («Лаборатория Касперского»), PHP/Zodar (McAfee), PHP.Zodar (Symantec), PHP/Zodar* (RAV), PHP_ZODAR.A (Trend Micro), PHP/Zodar (H+BEDV), PHP/Zodar.A (FRISK), PHP.Zodar.A (SOFTWIN), PHP.Zodar (ClamAV), PHP/Zodar (Panda), PHP/Zodar.A (Eset)

2

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Trojan-Proxy.Win32. Small.fk

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера. Является приложением Windows (PE EXE-файл). Имеет размер 8682 байта. Упакована FSG. Размер распакованного файла — около 49 КБ. Написана на Visual C++.

Инсталляция
При запуске вирус создает в системном каталоге Windows библиотеку с произвольным именем:
%System%\<произвольный набор символов>.dll — имеет размер 7168 байт, детектируется Антивирусом Касперского как Trojan.Win32.Obfuscated.fw
Затем создает в системном реестре следующий ключ:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
"DllName" = "<произвольный набор символов>.dll"
"MaxWait" = " dword: 0x00000001"
"Logon" = "Event"
"Asynchronous" = "dword: 0x00000001"
"Impersonate" = "dword: 0x00000001"

Деструктивная активность
Чтобы обойти сетевые экраны и антивирусную защиту, троянец ищет окна сообщений с заголовком:
Create rule for <имя троянской программы>
Также ищет в системе окна с именами классов:
AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:
Allow
Skip
Apply to all
Remember this action

Таким образом вирус разрешает запрашиваемые действия.

Окна с именем класса «AVP.Product_Notification» закрываются.

Далее троянская программа производит запись в память системного процесса «explorer.exe» — для сокрытия своего присутствия в системе и получения беспрепятственного доступа в Интернет. С целью получения параметров интернет-подключения пользователя вирус загружает ссылку:

-

В ходе своей работы троянец открывает произвольный UDP-порт. После этого компьютер пользователя может использоваться злоумышленником в качестве прокси-сервера.

3

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Backdoor.Win32. Libdoor

Троянская программа, позволяющая злоумышленнику получить удаленный доступ к компьютеру пользователя. Является библиотекой Windows (DLL-файл). Имеет размер 6656 байт.

Деструктивная активность

Бэкдор инсталлируется в систему при помощи другой вредоносной программы.

Вирус позволяет злоумышленнику удаленно выполнять следующие действия:

* делать скриншоты экрана и сохранять их в указанном файле;

* блокировать работу мыши и клавиатуры;

* завершать различные процессы;

* скрыто запускать различные процессы;

* отображать и скрывать окна приложений;

* отображать на экране зараженного компьютера различные сообщения;

* получать доступ к файлам на жестком диске.

Другие названия

Backdoor.Win32.Libdoor («Лаборатория Касперского») также известен как: Backdoor.Libdoor («Лаборатория Касперского»), IRC/Flood.bq.dll (McAfee), Backdoor.Trojan (Symantec), BackDoor.LibDoor (Doctor Web), Troj/Libdoor-A (Sophos), Backdoor:Win32/Libdoor (RAV), BKDR_CLONER.A (Trend Micro), TR/ICQFlood.bq3 (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Libdoor.A (Grisoft), Backdoor.Libdoor (SOFTWIN), Backdoor Program (Panda), Win32/Libdoor (Eset)

Trojan-PSW.Win32. LdPinch.ato

Троянец, предназначенный для кражи конфиденциальной информации пользователя. Похищает логины и пароли к различным сервисам и программам, а также системную информацию компьютера. Размер исполняемого файла — 21398 байт. Упакован с помощью MEW. Размер распакованного файла — около 280 КБ.

Деструктивная активность

Троянская программа собирает информацию о жестком диске, количестве свободного места на нем, об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, локализации, типе процессора, возможностях экрана, установленных на компьютере приложениях, запущенных процессах и существующих в системе dialup-соединениях.

Вирус похищает сведения из файлов «account.cfg» и «account.cfn», расположенных в каталогах:
%AppData%\The Bat
%AppData%\BatMail

Далее троянец получает путь к каталогу программы The Bat!, используя ключ реестра:
[HKLM\Software\RIT\The Bat!]
Working Directory или ProgramDir

Аналогичным путем также ищутся файлы «account.cfg» и «account.cfn» с последующим чтением их содержимого.

Вирус получает информацию о базах программы ICQ из ветви реестра:
[HKLM\Software\Mirabilis\ICQ\DefaultPrefs]

А также информацию о пользователях — из ветви:

[HKLM\Software\Mirabilis\ICQ\NewOwners]

Используя ключ реестра
[HKLM\Software\Miranda]
Install_Dir

троянец получает информацию о пути к каталогу, в котором располагается программа Miranda. В данном каталоге производится поиск файлов с расширением «.dat», из которых извлекаются номера и пароли от учетных записей пользователей службы мгновенного обмена сообщениями.

Аналогичным образом вредоносная программа получает путь к Trillian с последующим извлечением из ее конфигурационных файлов приватной информации пользователей.

Вирус также собирает следующую информацию:

* логины и пароли удаленных соединений;

* пароли к соединениям Windows Commander и Total Commander;

* пароли соединений CuteFTP, CuteFTP PRO;

* сохраненные пароли браузеров Mozilla и Opera;

* сохраненные пароли FileZilla;

* логины и пароли Mail.Ru Agent;

* пароли FTP-соединений FAR;

* пароли почтовика Thunderbird;

* пароли и дневники Punto Switcher;

* пароли AIM, GAIM, Eudora, E-Dialer, Outlook, INETCOMM Server, CoffeeCup Software, FlashXP, MirIM, SmartFTP;

* информацию из файла «%WinDir%\win.ini».

Собранные данные шифруются и сохраняются в файл «C:\sourcefile.dat», который далее отправляется в HTML-запросе на сервер злоумышленника:

4

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Virus.BAT. Bomgen

Данный вирус является пакетным файлом командного интерпретатора (BAT-файл). В зависимости от модификации размер вируса варьируется от 3 до 21 КБ.

Деструктивная активность

В зависимости от модификации вредоносная программа может копировать свой исполняемый файл в корневой каталог Windows под следующими именами:
%Windir%\setupset.bat
%Windir%\helpinit.vbs
%Windir%\regsys.js
%Windir%\SYSZAAcc.bat
%Windir%\WinEffHj.vbs

Вирус создает одну из папок:
%Windir%\4ieny5iC
%Windir%\2HVjzBPf

Созданной папке присваиваются атрибуты «Скрытый» и «Системный».

Также вирус создает следующие файлы:
    * %Temp%\wVbcg8IS.wj — имеет размер 64 байта;
    * %Temp%\FqvC2WD.vbs — имеет размер 436 байт;
    * %Windir%\jKmmOCFG.js — имеет размер 3322 байта.

Другие названия

Virus.BAT.Bomgen («Лаборатория Касперского») также известен как: BAT.Bomgen («Лаборатория Касперского»), Bat/Pilth (McAfee), BAT.BWG@mm (Symantec), Worm:BAT/Pfilth* (RAV), BAT_FILTH.A (Trend Micro), BAT/Pfilt.A (FRISK), BV:Malware (ALWIL), VBS.Pfilth.A@mm (SOFTWIN), Bat.Bomgen (ClamAV), BAT/Pfilt (Panda), BAT/Pfilth.A (Eset)

Virus.PHP. Feast.a
Скриптовый вирус, заражающий файлы с расширением «.php». Имеет размер 1251 байт. Написан на PHP.

Деструктивная активность

При запуске вирус ищет в рабочей папке и в папке на уровень выше файлы с расширением «.php». В найденных файлах вредоносная программа проверяет наличие строки «php.faces». Если строка отсутствует, вирус записывает в конец заражаемых файлов свое тело и завершает работу.

Другие названия

Virus.PHP.Feast.a («Лаборатория Касперского») также известен как: PHP/Faces (McAfee), PHP.Feast (Symantec), PHP/Faces.A (FRISK), PHP/Feast (Grisoft), PHP.Faces.A (SOFTWIN), PHP.Faces.A (ClamAV), PHP/Faces.A (Eset)

5

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Вирус Email-Worm. VBS.Tiltel

Почтовый червь, распространяющийся через Интернет в виде вложений в электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Написан на языке Visual Basic Script (VBS). Имеет размер 455 байт.
Деструктивная активность
При помощи приложения MS Outlook вирус рассылает зараженные письма всем адресатам из адресной книги.
Инфицированные сообщения имеют следующее содержание:
Тема письма:
"test"

Текст письма:
"bodytest"

Вложенный файл:
tes.bat

Другие названия

Email-Worm.VBS.Tiltel («Лаборатория Касперского») также известен как: I-Worm.Tiltel («Лаборатория Касперского»), VBS/Generic@MM (McAfee), BAT.Tiltel@mm (Symantec), VBS/Tiltel@mm.gen* (RAV), VBS_GENERIC.001 (Trend Micro), Worm/Tiltel (H+BEDV), VBS/Iloveyou (Grisoft), VBS.Granil.A (SOFTWIN), Suspect File (Panda)

6

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Вирус Email-Worm.VBS. Decbel

Почтовый червь, распространяющийся через Интернет в виде вложений в электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Написан на языке Visual Basic Script (VBS). Имеет размер 562 байта.
Деструктивная активность
При помощи приложения MS Outlook вирус рассылает зараженные письма всем адресатам из адресной книги.
Инфицированные сообщения имеют следующее содержание:
Тема письма:
"DecBel (ANNA) - JUILLET 2000."
Текст письма:
"Bonjour ! Voici DecBel (ANNA) ! C'est un décodeur Canal+ Belgique.
Consultez la documentation attachée а cet e-mail pour en savoir plus
а son sujet... Ne le lancez pas sans le passer а l'antivirus !"
Вложенные файлы:
DecBel.txt

decbel2.exe

Другие названия

Email-Worm.VBS.Decbel («Лаборатория Касперского») также известен как: I-Worm.Decbel («Лаборатория Касперского»), VBS/Generic@MM (McAfee), VBS.DecBel@mm (Symantec), VBS/Beldec-A (Sophos), VBS/DecBel@mm* (RAV), VBS_DECBEL.A (Trend Micro), Worm/Decbel (H+BEDV), VBS/MMW (FRISK), VBS:Malware (ALWIL), VBS.Decbel.A (SOFTWIN), Suspect File (Panda)

7

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Trojan-Downloader.Win32. Agent.bvz

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 41472 байта.

Инсталляция

При инсталляции троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\ntos.exe

С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit" = "%System%\ntos.exe"

Деструктивная активность

Троянская программа следит за действиями пользователя в браузере Internet Explorer.

В случае если пользователь работает с адресом https://onlineeast.bankofamerica.com, троянец периодически делает скриншоты рабочего стола и загружает их на FTP-сервер зл

8

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

mail-Worm.Win32. Warezov.mx

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 89116 байт. Упакован с помощью Upack, размер в распакованном виде — около 237 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:
%System%\msjidpmo.dll
%System%\msssmsda.dll
%System%\msssmsda.exe

Также генерируется ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda]
"DllName" = "%System%\msssmsda.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение

Данный вирус распространяется при помощи рассылки ICQ-сообщений.

Сообщения содержат текст «Try it», после которого следует ссылка:
http://***.cuhasefunjinksa.com/1/6696/

После открытия URL в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «flash.exe», являющийся последней модификацией семейства Warezov.

Деструктивная активность

Червь подгружает свой компонент под именем «%System%\msjidpmo.dll» в следующие процессы:
services.exe
zlclient.exe
iexplore.exe
mpftray.exe
svchost.exe
outpost.exe
firefox.exe
ccapp.exe
zapro.exe
opera.exe
tsmc.exe

Вирус отключает антивирусное программное обеспечение, установленное на компьютере, а также межсетевые экраны.

Червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов.

9

  • Автор: NewName
  • Администратор
  • NewName
  • Зарегистрирован: 2007-08-29
  • Приглашений: 0
  • Сообщений: 51
  • Возраст: 33 [1991-09-10]
  • Провел на форуме:
    1 день 16 часов
  • Последний визит:
    2010-02-18 10:27:32

Backdoor.Win32. Poison.h

Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5040 байт.

Инсталляция

При запуске бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%\com.exe

Затем создается следующий ключ реестра:
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{04F4BA85-A3C7-4235-0200-060204060705}]
"StubPath" = "%System%\com.exe"

Деструктивная активность

Вирус запускает процесс, на который указывает ключ реестра:
[HKLM\SOFTWARE\Classes\http\shell\open\command]

В этот процесс бэкдор внедряет свой код, периодически пытающийся установить соединение с адресом nimabi.serve***r.com и получить сценарий своей работы.

В сценарии могут быть прописаны следующие действия:

* загрузка файлов из сети Интернет на компьютер пользователя с последующим их запуском
* предоставление злоумышленнику информации о системе

Указанный код также внедряется в процесс «explorer.exe» и проверяет наличие запускаемого файла бэкдора на жестком диске и ключа автозапуска в системном реестре.

Страница: 1

Вы здесь » .:NewName:. » Хакерство » Описания вирусов, троянов ЗДЕСЬ.

Создать форум.