|
Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!
Здравствуйте, гость ( Вход | Регистрация )
Сейчас обсуждают
 
| |
|
|
Новые вирусы, Отчеты |
|
|
terraW |
28.5.2010, 1:22
|
L'Homme sans Ombre
Группа: Пользователи
Сообщений: 780
Регистрация: 31.12.2009
Из: город
Пользователь №: 187 410
|
Worm.Win32. FlyStudio.cu 25 мая, 2010 http://www.securitylab.ru/virus/394211.phpЧервь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 1410674 байта или 1406646 байт (в зависимости от модификации). Написан на C++. » Спойлер (нажмите, чтобы прочесть) « Инсталляция После запуска червь выполняет следующие действия: выводит на экран сообщение:
Создает каталог: %System%\372109 Каталог создается с атрибутом "скрытый" (hidden). Копирует свое тело в следующий файл: %System%\372109\C00285.EXE Копия создается с атрибутом "скрытый" (hidden). Запускает на выполнение созданную копию.
Распространение Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. При этом для всех каталогов, расположенных в корне съемного диска, устанавливается атрибут "скрытый" (hidden). На зараженном съемном диске создается столько копий червя, сколько каталогов найдено в его корне. Имена созданных копий и найденных каталогов совпадают. Кроме того, червь создает на зараженном съемном диске копию с именем: Recycle.exe Файл "Recycle.exe" создается с атрибутом "скрытый" (hidden).
Вместе со своим исполняемым файлом червь помещает файл: <имя зараженного съемного диска>:\autorun.inf что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник". Деструктивная активность После запуска червь выполняет следующие действия: выводит на экран сообщение:
Создает каталоги: %Temp%\E_N4 %System%\499E86 %System%\2B4FA4 %System%\A9C3FF Каталоги создаются с атрибутом "скрытый" (hidden). Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами: %Temp%\E_N4\krnln.fnr (1101824 байта) %Temp%\E_N4\HtmlView.fne (217088 байт) %Temp%\E_N4\internet.fne (184320 байт) %Temp%\eAPI.fne (323584 байта) %Temp%\E_N4\shell.fne (40960 байт) %Temp%\E_N4\dp1.fne (114688 байт) %Temp%\E_N4\cnvpe.fne (61440 байт) %Temp%\E_N4\spec.fne (73728 байт) %System%\499E86\krnln.fnr (1101824 байта) %System%\499E86\HtmlView.fne (217088 байт) %System%\499E86\internet.fne (184320 байт) %System%\499E86\eAPI.fne (323584 байта) %System%\499E86\shell.fne (40960 байт) %System%\499E86\dp1.fne (114688 байт) %System%\499E86\cnvpe.fne (61440 байт) %System%\499E86\spec.fne (73728 байт) %System%\499E86\RegEx.fnr (217088 байт) Для всех файлов из каталога "%System%\499E86" устанавливается атрибут "скрытый" (hidden). Для автоматического запуска троянца при каждом следующем входе пользователя в систему создается следующий ярлык: %USERPROFILE%\Главное меню\Программы\ Автозагрузка\C00285.lnk --------------------------------------------------------------------- Новый Worm, но уже встречал на зараженном компьютере.. Virus.Win32. Sality.z 25 мая, 2010 http://www.securitylab.ru/virus/394210.phpФайловый вирус, который заражает исполняемые файлы Windows. Является вредоносным кодом, который содержится в исполняемых файлах Windows PE-EXE. Размер тела вируса ~ 64 к.б., вирус использует полиморфное шифрование из за чего размер тела варьируется. Инсталляция При запуске зараженного файла вирус внедряет свой код в адресное пространство зараженного процесса и запускает его в отдельном потоке, после чего возвращает управление программе-носителю. Извлекает из своего тела файл: %System%\drivers\<5 случайных прописных букв>.sys – имеет размер 5184 байта. и создает службу с именем «aic32p», запускающую извлеченный файл при каждой последующей загрузке Windows. Заражение файлов Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции: TEXT UPX CODE При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках. Деструктивная активность Вирус добавляет исполняемый файл процесса, в котором работает его код в список доверенных процессов Windows Firewall. » Спойлер (нажмите, чтобы прочесть) « Завершает процессы, которые содержат следующие строки в именах и удаляет их исполняемые файлы: _AVPM. A2GUARD. AAVSHIELD. ACKWIN32. ADVCHK. AHNSD. AIRDEFENSE ALERTSVC ALMON. ALOGSERV ALSVC. AMON. ANTI-TROJAN. ANTIVIRSCHEDULER ANTIVIRSERVICE ANTS. APVXDWIN. ARMOR2NET. ASHAVAST. ASHDISP. ASHENHCD. ASHMAISV. ASHPOPWZ. ASHSERV. ASHSIMPL. ASHSKPCK. ASHWEBSV. ASWUPDSV. ATCON. ATUPDATER. ATWATCH. AUPDATE. AUTODOWN. AUTOTRACE. AUTOUPDATE. AVCIMAN. AVCONSOL. AVENGINE. AVGAMSVR. AVGCC. AVGCC32. AVGCTRL. AVGEMC. AVGFWSRV. AVGNT. AVGNTDD AVGNTMGR AVGSERV. AVGUARD. AVGUPSVC. AVINITNT. AVKSERV. AVKSERVICE. AVKWCTL. AVP. AVP32. AVPCC. AVPM. AVPUPD. AVSCHED32. AVSYNMGR. AVWUPD32. AVWUPSRV. AVXMONITOR9X. AVXMONITORNT. AVXQUAR. BACKWEB-4476822. BDMCON. BDNEWS. BDOESRV. BDSS. BDSUBMIT. BDSWITCH. BLACKD. BLACKICE. CAFIX. CCAPP. CCEVTMGR. CCPROXY. CCSETMGR. CFIAUDIT. CLAMTRAY. CLAMWIN. CLAW95. CLAW95CF. CLEANER. CLEANER3. CLISVC. CMGRDIAN. CPD. DEFWATCH. DOORS. DRVIRUS. DRWADINS. DRWEB32W. DRWEBSCD. DRWEBUPW. ESCANH95. ESCANHNT. EWIDOCTRL. EZANTIVIRUSREGISTRATIONCHECK. F-AGNT95. FAMEH32. FAST. FCH32 FILEMON FIRESVC FIRETRAY FIREWALL FPAVUPDM F-PROT95 FRESHCLAM FRW FSAV32 FSAVGUI FSBWSYS F-SCHED FSDFWD FSGK32 FSGK32ST FSGUIEXE FSM32 FSMA32 FSMB32 FSPEX FSSM32 F-STOPW GCASDTSERV GCASSERV GIANTANTISPYWAREMAIN GIANTANTISPYWAREUPDATER GUARDGUI GUARDNT HREGMON HRRES HSOCKPE HUPDATE IAMAPP IAMSERV ICLOAD95 ICLOADNT ICMON ICSSUPPNT ICSUPP95 ICSUPPNT IFACE INETUPD INOCIT INORPC INORT INOTASK INOUPTNG IOMON98 ISAFE ISATRAY ISRV95 ISSVC KAV KAVMM KAVPF KAVPFW KAVSTART KAVSVC KAVSVCUI KMAILMON KPFWSVC KWATCH LOCKDOWN2000 LOGWATNT LUALL LUCOMSERVER LUUPDATE MCAGENT MCMNHDLR MCREGWIZ MCUPDATE MCVSSHLD MINILOG MYAGTSVC MYAGTTRY NAVAPSVC NAVAPW32 NAVLU32 NAVW32 NDD32 NEOWATCHLOG NEOWATCHTRAY NISSERV NISUM NMAIN NOD32 NORMIST NOTSTART NPAVTRAY NPFMNTOR NPFMSG NPROTECT NSCHED32 NSMDTR NSSSERV NSSTRAY NTRTSCAN NTXCONFIG NUPGRADE NVC95 NVCOD NVCTE NVCUT NWSERVICE OFCPFWSVC OUTPOST PAV PAVFIRES PAVFNSVR PAVKRE PAVPROT PAVPROXY PAVPRSRV PAVSRV51 PAVSS PCCGUIDE PCCIOMON PCCNTMON PCCPFW PCCTLCOM PCTAV PERSFW PERTSK PERVAC PNMSRV POP3TRAP POPROXY PREVSRV PSIMSVC QHM32 QHONLINE QHONSVC QHPF QHWSCSVC RAVMON RAVTIMER REALMON REALMON95 RFWMAIN RTVSCAN RTVSCN95 RULAUNCH SAVADMINSERVICE SAVMAIN SAVPROGRESS SAVSCAN SCAN32 SCANNINGPROCESS SCHED SDHELP SHSTAT SITECLI SPBBCSVC SPHINX SPIDERML SPIDERNT SPIDERUI SPYBOTSD SPYXX SS3EDIT STOPSIGNAV SWAGENT SWDOCTOR SWNETSUP SYMLCSVC SYMPROXYSVC SYMSPORT SYMWSC SYNMGR TAUMON TBMON TC TCA TCM TDS-3 TEATIMER TFAK THAV THSM TMAS TMLISTEN TMNTSRV TMPFW TMPROXY TNBUTIL TRJSCAN UP2DATE VBA32ECM VBA32IFS VBA32LDR VBA32PP3 VBSNTW VCHK VCRMON VETTRAY VIRUSKEEPER VPTRAY VRFWSVC VRMONNT VRMONSVC VRRW32 VSECOMR VSHWIN32 VSMON VSSERV VSSTAT WATCHDOG WEBPROXY WEBSCANX WEBTRAP WGFE95 WINAW32 WINROUTE WINSS WINSSNOTIFY WRADMIN WRCTRL XCOMMSVR ZATUTOR ZAUINST ZLCLIENT ZONEALARM. Останавливает службы: ALG aswUpdSv avast! Antivirus avast! Mail Scanner avast! Web Scanner BackWeb Plug-in - 4476822 bdss BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr F-Prot Antivirus Update Monitor fsbwsys FSDFWD F-Secure Gatekeeper Handler Starter fshttps FSMA InoRPC InoRT InoTask ISSVC KPF4 LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager navapsvc NOD32krn NPFMntor NSCService Outpost Firewall main module OutpostFirewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal PREVSRV ProtoPort Firewall service PSIMSVC RapApp SmcService SNDSrvc SPBBCSvc Symantec Core LC Tmntsrv TmPfw tmproxy UmxAgent UmxCfg UmxLU UmxPol vsmon VSSERV WebrootDesktopFirewallDataService WebrootFirewall XCOMM AVP Пытается скачать файл по одной из следующих ссылок: http://mat***teria.pl/logos.gif http://mac***ia.my1.ru/logoh.gif http://kuk***tnet777.info/home.gif http://kuk***tnet888.info/home.gif http://kuk***tnet987.info/home.gif и сохраняет его во временную папку с временным именем после чего запускает на выполнение. На момент написания описания ни одна из ссылок не работала. При помощи установленного в систему драйвера фильтрует сетевой трафик и запрещает доступ к адресам содержащим следующие строки: cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal. sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com kaspersky таким образом препятствуя обновлению установленных антивирусных программ. Ищет и удаляет файлы с расширениями: .vdb .key .avc и содержащие в имени строку "drw".
» Спасибо сказали: «
|
|
|
|
the.h3rmit |
28.6.2010, 21:57
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Trojan-Dropper.Win32. Flystud.yoЧервь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 1405887 байт. Написан на C++. » Спойлер (нажмите, чтобы прочесть) « Инсталляция
После запуска червь выполняет следующие действия:
* создает каталог:
%System%\372109
Каталог создается с атрибутом "скрытый" (hidden). * Копирует свое тело в следующий файл:
%System%\372109\C00285.EXE
Копия создается с атрибутом "скрытый" (hidden). * Запускает на выполнение созданную копию.
Распространение Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру. При этом для всех каталогов, расположенных в корне съемного диска, устанавливается атрибут "скрытый" (hidden). На зараженном съемном диске создается столько копий червя, сколько каталогов найдено в его корне. Имена создаваемых копий и найденных каталогов совпадают. Кроме того, червь создает на зараженном съемном диске копию с именем:
Recycle.exe
Файл "Recycle.exe" создается с атрибутом "скрытый" (hidden).
Червь создает на зараженном съемном диске файл:
<имя зараженного съемного диска>:\autorun.inf
следующего содержания:
[AutoRun] open=Recycle.exe shell\1=+?¬к(&O) shell\1\Command=Recycle.exe shell\2\=фпLL(&B) shell\2\Command=Recycle.exe shellexecute=Recycle.exe
Таким образом, копия червя будет запускаться каждый раз, когда пользователь открывает зараженный съемный диск при помощи программы "Проводник".
Деструктивная активность После запуска червь выполняет следующие действия:
* создает каталоги:
%Temp%\E_N4 %System%\499E86 %System%\2B4FA4 %System%\A9C3FF
Каталоги создаются с атрибутом "скрытый" (hidden). * Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%Temp%\E_N4\spec.fne (73728 байт) %Temp%\E_N4\shell.fne (40960 байт) %Temp%\E_N4\krnln.fnr (1101824 байта) %Temp%\E_N4\internet.fne (184320 байт) %Temp%\E_N4\HtmlView.fne (217088 байт) %Temp%\E_N4\eAPI.fne (323584 байта) %Temp%\E_N4\dp1.fne (114688 байт) %Temp%\E_N4\cnvpe.fne (61440 байт) %System%\499E86\spec.fne (73728 байт) %System%\499E86\shell.fne (40960 байт) %System%\499E86\RegEx.fnr (217088 байт) %System%\499E86\krnln.fnr (1101824 байта) %System%\499E86\internet.fne (184320 байт) %System%\499E86\HtmlView.fne (217088 байт) %System%\499E86\eAPI.fne (323584 байта) %System%\499E86\dp1.fne (114688 байт) %System%\499E86\cnvpe.fne (61440 байт)
Для всех файлов из каталога "%System%\499E86" устанавливается атрибут "скрытый" (hidden). * Для автоматического запуска троянца при каждом следующем входе пользователя в систему создается следующий ярлык:
%USERPROFILE%\Start Menu\Programs\Startup\C00285.lnk
Backdoor.Win32. Shiz.ezТроянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 98304 байт. Упакован неизвестным упаковщиком, распакованный размер ~1300 к.б. » Спойлер (нажмите, чтобы прочесть) « ИнсталляцияКопирует свой исполняемый файл как: %System%\<rnd>.EXE где <rnd> - случайная последовательность прописных букв и цифр, например 5jYcZS0.exe Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon] "Userinit" = “C:\WINDOWS\system32\userinit.exe %System%\<rnd>.exe” Деструктивная активностьИщет в системе следующие процессы и внедряет в них свой код: iexplore.exe opera.exe java.exe javaw.exe explorer.exe| sclient.exe intpro.exe mnp.exe services.exe Внедренный код перехватывает сетевой траффик этих процессов, при помощи перехвата следующих функций: GetAddrInfo inet_addr send gethostbyname wsasend так же троян следит за вводом с клавиатуры и собирает информацию копируемую в буфер обмена. Так же троян перехватывает функцию: CryptEncrypt для слежения за шифруемыми данными и функцию GetWindowTextA для перехвата данных в окнах программ с которыми работает пользователь. Ворует банковские реквизиты пользователей следующих систем онлайн банкинга: Inter-PRO Client РФК Клиент-Web Webmoney FAKTURA.ru RAIFFEISEN Так же троян собирает историю посещения сайтов из браузеров: Opera Mozilla Firefox Собранную информацию отсылает на сайт злоумышленника. http://candri***.com/gate.phpТроян добавляет в систему некорректные сетевые маршруты для блокирования доступа к большому списку IP адресов. Пытается вывести из строя следующие антивирусы: Kaspersky AVG Avira CA HIPS Создает на зараженной системе SOCKS-прокси сервер на случайном TCP порте и уведомляет об этом сайт злоумышленников: http://candri***.com/socks.phpТак же троян может выводить из строя операционную систему записывая мусор в устройство \\.\PhysicalDrive0 завершая системные процессы: smss.exe csrss.exe lsass.exe а так же удаляя критические для загрузки ОС файлы: ntldr ntdetect.com находящиеся на системном диске.
|
|
|
|
the.h3rmit |
1.7.2010, 9:07
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Trojan.Win32.Agent.bsgmВредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер – около 162 КБ. Написана на Visual Basic. » Спойлер (нажмите, чтобы прочесть) « Инсталляция После запуска вирус создает копии своего тела под следующими именами:
%Temp%\Kill Brontok.exe %WinDir%\Screen Task.scr %Documents and Settings%\<username>\taskmgr.exe
Где <username> - имя текущего пользователя Windows.
При этом файлу с именем "taskmgr.exe" устанавливает атрибуты "скрытый" и "системный".
Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Task" = "%Documents and Settings%\<username>\taskmgr.exe"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "%WinDir%\Explorer.exe %Documents and Settings% \<username>\taskmgr.exe" Для автоматического запуска копии вируса каждые 600 секунд, при бездействии операционной системы, активирует автоматический запуск экранной заставки и прописывает свою копию по пути к файлу экранной заставки, добавив следующую информацию в ключ системного реестра:
[HKCU\Control Panel\Desktop] "ScreenSaveTimeOut" = "600" "ScreenSaveActive" = "1" "SCRNSAVE.EXE" = "%WinDir%\Screen Task.scr"
Вирус копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:
<X>:\Boot.exe
Где <X> - буква диска компьютера пользователя.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность Для скрытия расширений исполняемых файлов добавляет следующую информацию в ключ системного реестра:
[HKCR\exefile] "NeverShowExt"=""
Изменяет параметры работы зон безопасности браузера, добавив следующую информацию в ключи системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\ZoneMap] "ProxyByPass" = "1" "IntranetName" = "1" "UNCAsIntranet" = "1" На логических дисках компьютера пользователя вирус производит поиск файлов с расширением "htm". Во всех найденных файлах ищет почтовые адреса, на которые отсылает письма следующего вида:
Тема письма:
Reply DataFolder
Текст письма:
Please Save Attachment File For Detail Data In File ( Save Attachment and after that Open the DataFle Scan Virus)
Имя файла-вложения:
Kill Brontok.exe
Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи Диспетчера задач завершить вредоносные процессы:
Kill Brontok.exe Screen Task.scr taskmgr.exe
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 3. Удалить файлы:
%Temp%\Kill Brontok.exe %WinDir%\Screen Task.scr %Documents and Settings%\<username>\taskmgr.exe <X>:\Boot.exe <X>:\autorun.inf
4. Удалить параметр ключей системного реестра: [HKCR\exefile] "NeverShowExt"=""
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ Explorer\Run] "Task" = "%Documents and Settings%\<username>\taskmgr.exe"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "%WinDir%\Explorer.exe %Documents and Settings% \<username>\taskmgr.exe"
[HKCU\Control Panel\Desktop] "SCRNSAVE.EXE" = "%WinDir%\Screen Task.scr" 5. При необходимости восстановить значения параметров ключа системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\ZoneMap] "ProxyByPass" = "1" "IntranetName" = "1" "UNCAsIntranet" = "1" 6. Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
7. Произвести полную проверку компьютера антивирусом с обновленными антивирусными базами.
|
|
|
|
the.h3rmit |
4.7.2010, 8:42
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Trojan.Win32. Agent2.dbwТроянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 8704 байта. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активность
После запуска троянец проверяет наличие запущенного отладчика. Если процесс вредоноса запускается под отладчиком – троянец прекращает свое выполнение. Затем троянец извлекает из себя в рабочий каталог вредоносную библиотеку с именем:
%WorkDir%\Runt.dll
Данный файл имеет размер 7168 байт и детектируется антивирусом Касперского как Trojan.Win32.Small.btn. Устанавливает файлу атрибуты "Скрытый", "Системный". Затем троянец, при помощи командной строки, вызывает функцию вредоносной библиотеки RundllTest().
Trojan-Downloader.Win32. FraudLoad.xdauТроянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 22528 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 51 КБ. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПосле запуска троянец получает идентификатор набора национальных параметров LCID, и проверяет первичный идентификатор национального языка. Если он соответствует значению "Russian", то троянец удаляет свой оригинальный файл и завершает свою работу. В противном случае, троянец загружает из сети Интернет файлы по следующим ссылкам: http://aa***rogen.com/ufwnltbz/hyfahpxiq.php?adv=adv447http://aa***rogen.com/ufwnltbz/hypwhc.php?adv=adv447http://aa***rogen.com/ufwnltbz/oriqbjdp.php?adv=adv447http://aa***rogen.com/ufwnltbz/kkemu.php?adv=adv447http://aa***rogen.com/ufwnltbz/fwevpovto.php?adv=adv447http://aa***rogen.com/ufwnltbz/fwelcx.php?adv=adv447http://aa***rogen.com/ufwnltbz/yptozgozmu.php?adv=adv447http://aa***rogen.com/ufwnltbz/imwaic.php?adv=adv447http://aa***rogen.com/ufwnltbz/gnemtrzxsn.php?adv=adv447http://aa***rogen.com/ufwnltbz/wzdcjrp.php?adv=adv447http://aa***rogen.com/ufwnltbz/fjnvpk.php?adv=adv447http://aa***rogen.com/ufwnltbz/rvqxfn.php?adv=adv447http://aa***rogen.com/ufwnltbz/txrzxs.php?adv=adv447&code1=LNLF&code2=<rnd1>&id=<rnd2>&p=1 где <rnd1>, <rnd2> – случайные десятичные числа. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя "%Temp%" под случайными именами. На момент создания описания файлы не загружались. Далее троянец для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "CMD.EXE" со следующими параметрами: /c del <полный путь к оригинальному файлу троянца> > nul После этого троянец завершает свою работу. Exploit.JS. Pdfka.ciuПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Adobe Reader и Adobe Acrobat. Является PDF-документом, содержащим сценарии языка JavaScript. В зависимости от модификации имеет размер около 45 КБ. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПри открытии зараженного документа на компьютер пользователя загружаются два файла по определенным ссылкам. Ссылки для загрузки изменяются в зависимости от модификации. Например: http://be***d.info/cgi-bin/class.phtml/n002106204r0019Xf6b76607Ybd4df4fbZ0100f06030dP00000108 http://be***kdd.info/cgi-bin/class.phtml/n002106204r0019Xf6b76607Ybd4df4fbZ0100f060317P00000108 http://IP***c.info/cgi-bin/mor/n00a102801r0019J14000601Rf6736ebdXd130c112Y9aca6392Z03003f3630dP00000108 http://i***.info/cgi-bin/mor/n00a102801r0019J14000601Rf6736ebdXd130c112Y9aca6392Z03003f36317P00000108 http://lo***.lt/info/us1.html/n002106204r0019X86db5ea1Ycd270074Z0100f06030dP00000108 http://lo***.lt/info/us1.html/n002106204r0019X86db5ea1Ycd270074Z0100f060317P00000108 http://vip***17.com/cgi-bin/cooler.aspx/n002106204r0019X86db739bYcd270074Z0100f06030dP00000108 http://vip***17.com/cgi-bin/cooler.aspx/n002106204r0019X86db739bYcd270074Z0100f060317P00000108 На момент создания описания ссылки не работали. Для своей работы эксплоит использует уязвимость переполнения буфера в Adobe Reader и Adobe Acrobat – CVE-2007-5659. Exploit.Win32. Pidief.aszПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Foxit Reader. Является PDF-документом, содержащим сценарии языка JavaScript. Имеет размер 9827 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПри открытии зараженного документа на компьютер пользователя загружается файл по следующей ссылке: http://d0***ns.info/blog/load.phpСкачанный файл имеет размер 17408 байт и детектируется Антивирусом Касперского как Trojan.Win32.VBKrypt.my. После этого скачанный файл запускается и эксплоит завершает свою работу. Для своей работы эксплоит использует уязвимость переполнения буфера в Foxit Reader – CVE-2009-0837. P2P-Worm.Win32. Palevo.gulТроянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 116736 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 123 Кб. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Инсталляция
Если имя червя отличалось от "sysdate.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге диска с установленной Windows:
<Dir>:\RECYCLER\S-1-5-21-<rnd>
Где <Dir> - буква диска с установленной операционной системой, <rnd> - случайный набор из 33-х цифр, например "6184790095-5294150467-560388270-4689" или "0397941677-0106684583-388380175-2763".
В созданном каталоге создает свою копию с именем "sysdate.exe":
<Dir>:\RECYCLER\S-1-5-21-<rnd>\sysdate.exe
а также файл с именем "Desktop.ini":
<Dir>:\RECYCLER\S-1-5-21-<rnd>\Desktop.ini
Данный файл имеет размер 63 байта и содержит следующие строки:
[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Деструктивная активность
Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:
1. Отсутствие ключа системного реестра:
[HKCU\Keyboard Layout\Preload]
2. Имя учетной записи текущего пользователя Windows было одним из следующих:
USERNAME user CurrentUser
3. Имя текущего пользователя Windows было одним из следующих:
COMPUTERNAME user
4. В адресное пространство червя была подгружена хоть одна из библиотек:
dbghelp.dll sbiedll.dll
5. Оригинальное тело червя находилось в корневом каталоге диска С:\ с именем '"file.exe":
C:\file.exe
Если имя червя было "tmp983.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.
В бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.
Вредоносный код предназначен:
* Для создания копии тела червя во всех доступных на запись сетевых и съемных дисках под именем "tmp983.exe":
<X>:\cache\tmp983.exe
Где <X> - буква сетевого или съемного диска.
Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". * Для добавления ссылки на свой исполняемый файл в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman" = "<X>:\RECYCLER\S-1-5-21-<rnd>\sysdate.exe"
* Для реализации функционала бэкдора. Для этого соединяется с удаленными хостами:
b***ck.no-ip.org q***dfg.sinip.es b***fly.sinip.es
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd2>.exe
Где <rnd2> - случайное число.
Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталог:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder
каталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:
[HKCU\Software\BearShare\General] [HKCU\Software\iMesh\General] [HKCU\Software\Shareaza\Shareaza\Downloads] [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\DC++] [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
По команде злоумышленника также возможна подмена файла "hosts":
%System%\etc\hosts
На момент создания описания никаких команд с серверов злоумышленника не приходило. * Для отправки на адрес злоумышленника сохраненных паролей следующих браузеров:
Internet Explorer Mozilla Firefox Google Chrome Opera
Сообщение отредактировал the.h3rmit - 4.7.2010, 8:46
|
|
|
|
the.h3rmit |
5.7.2010, 8:40
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Trojan-Downloader.JS. Agent.fioТроянская программа. Является HTML-страницей, содержащей сценарии языка JavaScript. Имеет размер 6765 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПри открытии зараженной Web-страницы выполняется скрипт расположенный по адресу: http://e***adi.in:3129/jsНа момент создания описания ссылка не работала. Trojan-Dropper.Win32. Agent.cbjoТроянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта. Упакована UPX. Распакованный размер – около 47 КБ. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активность
После запуска троянец выполняет следующие действия:
* извлекает из своего тела файл, который сохраняется в системе как
%System%\msdheuzg.dll
(36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.wtkk") * Запускает системную утилиту "rundll32.exe" со следующими параметрами:
%System%\msdheuzg.dll,w
Таким образом, из извлеченной библиотеки вызывается функция с именем "w". * Закрывает окно с именем класса "GxWindowClassD3d".
Далее троянец создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается.
Trojan-GameThief.Win32. OnLineGames.vagiТроянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). Имеет размер 21728 байт. Упакована при помощи UPX. Распакованный размер – около 86 КБ. Написана на С++. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активность
При обнаружении значений параметров в следующих ключах реестра (таким образом троянец определяет наличие на компьютере пользователя антивирусных программ):
[HKLM\SOFTWARE\KasperskyLab\SetupFolders] "KAV7" =
[HKLM\SOFTWARE\rising\Ris] "name" =
выполняет следующие действия:
* извлекает из своего тела файл с именем "systemd.sys" и устанавливает ему атрибуты "скрытый" и "системный":
%System%\Drivers\systemd.sys
Данный файл имеет размер 6656 байт и детектируется антивирусом Касперского как Rootkit.Win32.Small.acs.
Для запуска на исполнение извлеченного файла создает службу с именем "aaaa":
aaaa
При этом в ключе реестра создаются следующие записи:
[HKLM\SYSTEM\CurrentControlSet\Services\aaaa] "DisplayName" = "aaaa" "ErrorControl" = "1" "ImagePath" = "%System%\Drivers\systemd.sys" "Start" = "3" "Type" = "1"
* Извлекает из своего тела и запускает на исполнение файл с именем "test.exe":
%Temp%\test.exe
Данный файл имеет размер 29920 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.vzya. * Перемещает свое оригинальное тело во временный каталог текущего пользователя Windows под именем "DNFupdate.exe":
%Temp%\DNFupdate.exe
После этого завершает свое выполнение.
Если же троянец не обнаружил ключей реестра, соответствующих антивирусным программам, тогда он выполняет следующие действия:\
* Извлекает из своего тела библиотеку во временный каталог текущего пользователя Windows и устанавливает ей атрибуты "скрытый" и "системный":
%Temp%\SysDir.dat
Данный файл имеет размер 21728 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.QQPass.idz. * Подгружает извлеченную библиотеку в свое адресное пространство и вызывает из нее функции с именами:
VVVV YYYY
* Получает путь к распространенной в Китае программе мгновенного обмена сообщениями "Tencent QQ", прочитав значение параметра следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tencent\DNF] "Path" =
* В полученном каталоге создает копию своего тела с именем "DNFupdate.exe":
<каталог полученный из реестра>\start\DNFupdate.exe
* Копирует системную библиотеку:
%System%\LPK.dll
в файл с именем "DnfText.dll":
<каталог полученный из реестра>\start\DnfText.dll
* В этот же каталог вредонос извлекает файл с именем "LPK.dll": <каталог полученный из реестра>\start\LPK.dll
Данный файл имеет размер 2560 байт и предназначен для запуска копии тела троянца с именем "DNFupdate.exe":
<каталог полученный из реестра>\start\DNFupdate.exe
В завершение троянец перемещает свое оригинальное тело во временный каталог текущего пользователя Windows с именем "DNFupdate.exe":
%Temp%\DNFupdate.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить службу с именем "aaaa":
aaaa
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 3. Удалить файлы:
%System%\Drivers\systemd.sys %Temp%\test.exe %Temp%\SysDir.dat %Temp%\DNFupdate.exe <каталог полученный из реестра>\start\DNFupdate.exe <каталог полученный из реестра>\start\DnfText.dll <каталог полученный из реестра>\start\LPK.dll
4. Удалить ключ реестра (как работать с реестром?):
[HKLM\SYSTEM\CurrentControlSet\Services\aaaa]
5. Произвести полную проверку компьютера антивирусом с обновленными антивирусными базами.
Trojan-Downloader.Win32. FraudLoad.gswТроянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПосле запуска троянец выполняет следующие действия: * выгружает из системной памяти процессы: MEGAPROTECT.EXE MegaRun.exe * Вызывает функцию "DllUnregisterServer" из библиотек: %System%\MegaProtectX.ocx %Program Files%\MegaProtect\Megahk.dll %Program Files%\MegaProtect\Megab.dll * Удаляет ключ системного реестра: [HKLM\Software\MicroSoft\Windows\CurrentVersion\Run] "MegaProtect" * Удаляет ветви системного реестра: [HKCU\Software\PrivCom] [HKLM\Software\Microsoft\Code Store Database\ Distribution Units\{54E2DF5C-D4F3-439D-AED6-33DD5E4F2925}] [HKLM\Software\Microsoft\Windows\CurrentVersion\ Uninstall\MegaProtect] * Загружает из сети Интернет файл по следующей ссылке: http://dow***o.kr/download/PVCNinstRBRun.exe Загруженный файл сохраняется в системе как %Program Files%\PVCNinstRBRun.exe и после успешной загрузки запускается на выполнение. На момент создания описания файл не загружался. Далее троянец создает в каталоге %System% сценарий командного интерпретатора "DelUS.bat", запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. Trojan-Dropper.Win32. Agent.cdqoТроянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Написана на C++.
|
|
|
|
the.h3rmit |
6.7.2010, 10:58
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Exploit.JS. Pdfka.cicПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в продуктах Adobe Acrobat и Adobe Reader. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 1990 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьВредоносный PDF документ содержит в своем теле обфусцированный сценарий Java Script, запускающийся на исполнение при открытии документа с помощью Adobe Acrobat или Adobe Reader. Используя уязвимость объекта Collab, выполняя переполнение буфера при обработке метода.GetIcon() (CVE-2009-0927), затронувшей продукты Adobe Reader и Adobe Acrobat 9 ранее версии 9.1, 8 ранее версии 8.1.2 и 7 ранее версии 7.1, эксплоит выполняет загрузку файла со следующего URL: http://inf***ff.com/w2/l.php?i=6Скачанный файл эксплоит сохраняет во временном каталоге текущего пользователя Windows под следующими именами: %Temp%\pdfupd.exe %Temp%\crash.php Данные файлы имеют размер 122880 байт и детектируются Антивирусом Касперского как Trojan-Spy.Win32.Zbot.akfo. После успешной загрузки файлы запускаются на исполнение. Exploit.JS. Agent.axrПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в MS Internet Explorer. Представляет собой HTML документ, который содержит в себе сценарии языка Java Script. Имеет размер 1548 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьВредонос использует уязвимость, которая существует из-за "использования после освобождения" ошибки в mshtml.dll при некорректной обработке специально сформированного XML документа, который заключен в тег "SPAN" (CVE-2008-4844). В результате эксплоит пытается выполнить загрузку файла, который размещается по ссылке: http://www.k***49.com/ma/yh.exeи сохранить под именем: %Documents and Settings%\a На момент создания описания ссылка не работала. Затем пытается запустить загруженный файл на выполнение. Exploit.Java. CVE-2009-3867.dПрограмма-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в Sun Microsystems Java (CVE-2009-3867). Является Java-классом (class-файл). Имеет размер 3177 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активность
При запуске эксплоит распыляет в памяти шелкод. После этого вызывается уязвимая функция "getSoundbank", которой в качестве параметра передается ссылка или имя файла определенной длинны. В результате это происходит переполнение буфера и выполнение шелкода.
|
|
|
|
the.h3rmit |
12.7.2010, 11:05
|
Молчун
Группа: Пользователи
Сообщений: 41
Регистрация: 24.9.2008
Пользователь №: 51 018
Репутация: 2
|
Trojan-Downloader.JS. Agent.figТроянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Представляет собой HTML документ, содержащий сценарии Java Script. Имеет размер 15509 байт. » Спойлер (нажмите, чтобы прочесть) « Деструктивная активностьПосле открытия зараженной страницы, троянец, при помощи сценариев Java Script, выполняет расшифровку своего обфусцированного кода и затем запускает вредоносный сценарий на выполнение. Затем используя уязвимость в MDAC (Microsoft Data Access Components) в ActiveX объекте "RDS.DataSpace" (MS06-014), при этом также используя ActiveX объект "MSXML2.XMLHTTP ", пытается выполнить загрузку файла со следующего URL: http://br***us2sz.com/ww/l.php?i=1 а затем, при помощи ActiveX объекта "ADODB.Stream", сохраняет файл на один уровень выше от рабочего каталога с именем "file.exe" и затем запускает файл на выполнение. При наличии установленного в браузере плагина Adobe Acrobat, троянец, в скрытом фрейме, пытается загрузить и выполнить с сервера злоумышленника вредоносные сценарии. В зависимости от версии Adobe Acrobat троянец загружает один из документов, который содержит в себе эксплоит: %RootDir%/tmp/geticon.pdf %RootDir%/tmp/printf.pdf %RootDir%/tmp/collab.pdf %RootDir%/tmp/newplayer.pdf %RootDir%/tmp/libtiff.pdf Вредонос создает на странице объект Shockwave Flash, с именем "BridgeMovie" и с уникальным идентификатором: D27CDB6E-AE6D-11cf-96B8-444553540000 при помощи которого, пытается загрузить и выполнить с сервера злоумышленника вредоносный сценарий: %RootDir%/ tmp/flash.swf В зависимости от версии установленного в системе Flash плеера, вредонос создает и запускает "swf" файл, который содержит в своем коде эксплоит для данного флэш плеера. В результате выполнения кода эксплоита происходит загрузка файла, который размещается по следующему URL: http://br***us2sz.com/ww/l.php?i=7Уязвимые версии продукта - 9.0.115.0, 9,0.16.0, 9.0.28.0, 9.0.45.0, 9.0.47.0, 9.0.64.0, 10.0.12.36, 10.0.22.87, 9.0.124.0, 9.0.151.0, 9.0.159.0. Далее троянец использует уязвимость, которая существует из-за "использование после освобождения" ошибки в компоненте "Peer Objects" в iepeers.dll при некорректной обработке метода setAttribute() (CVE-2010-0806). В результате эксплоит пытается выполнить загрузку файлов, которые размещаются по ссылкам: http://br***us2sz.com/ww/l.php?i=18http://br***us2sz.com/ww/l.php?i=12и сохранить под именем: %Temp%\pdfupd.exe Затем троянец запускает загруженный файл на выполнение. На момент создания описания ссылки не работали. Trojan-Clicker.JS. Iframe.bbТроянская программа, открывающая в браузере различные веб-страницы без ведома пользователя. Представляет собой сценарий языка Java Script, размещенный на HTML странице. Имеет размер 44578 байт. » Спойлер (нажмите, чтобы прочесть) « После открытия в браузере зараженной страницы, троянец загружает в скрытом фрейме веб-ресурс: http://iq***za.ru:8080/index.phpНа момент создание описания ссылка не работала. Trojan.Win32. Agent2.cqziТроянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « ИнсталляцияТроянец копирует свое тело в системный каталог Windows под именем "srnh.lto": %System%\srnh.lto Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe srnh.lto iqfnr" Деструктивная активностьЕсли на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра: [HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1" И выполняет макрос с помощью которого запускает на выполнение файл, который троянец предварительно извлек во временный каталог текущего пользователя. Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем: 26224460209c4f59c4 Далее троянец создает процесс с именем "svchost.exe" и внедряет в него вредоносный код: svchost.exe Троянец отправляет запрос по следующему адресу: http://m***xs.com/lxmax/bb.phpВ ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра: [HKCR\idid] P2P-Worm.Win32. Palevo.fucТроянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 89600 байт. Написана на C++. » Спойлер (нажмите, чтобы прочесть) « Инсталляция
Если имя червя отличалось от "gpl.exe", тогда создает каталоги с атрибутами "скрытый" и "системный" в корневом каталоге системного диска:
<X>:\RECYCLER\S-1-5-21-<rnd>
Где <X> - буква системного диска, <rnd> - случайный набор из 33-х цифр, например "2417154109-8600854677-216712865-6223" или "0397941677-0106684583-388380175-2763".
В созданном каталоге создает свою копию с именем "gpl.exe":
<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe
а также файл с именем "Desktop.ini":
<X>:\RECYCLER\S-1-5-21-<rnd>\Desktop.ini
Данный файл имеет размер 63 байта и содержит следующие строки:
[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Деструктивная активность
Вредоносная программа завершает свое выполнение при выполнении хоть одного из следующих условий:
1. Отсутствие ключа системного реестра:
[HKCU\Keyboard Layout\Substitutes]
2. Имя учетной записи текущего пользователя Windows было одним из следующих:
USERNAME user COMPUTERNAME CurrentUser
3. Имя текущего пользователя Windows было одним из следующих:
COMPUTERNAME user
4. В адресное пространство червя была подгружена хоть одна из библиотек:
SbieDll.dll dbghelp.dll
5. Оригинальное тело червя находилось в корневом каталоге диска С:\ с именем "file.exe":
C:\file.exe
Если имя червя было "winusb.exe", тогда он открывает текущий каталог при помощи программы "Проводник" Windows.
Далее в бесконечном цикле червь ищет процесс с именем "explorer.exe", при нахождении данного процесса внедряет в него вредоносный код.
Вредоносный код выполняет следующие действия:
* для контроля уникальности своего потока в системе создает уникальный идентификатор:
i77dkf_765jf_ff
* анализирует файлы настроек с целью отправки на адрес злоумышленника сохраненных паролей следующих браузеров:
Mozilla Firefox Internet Explorer Opera
* добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра, что приводит к автоматическому запуску копии червя при каждом следующем старте системы:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "microsoft corporation" = "<X>:\RECYCLER\S-1-5-21-<rnd>\gpl.exe"
* создает копии тела червя во всех доступных на запись сетевых и съемных дисках под именем "winusb.exe":
<X2>:\winusb.exe
Где <X2> - буква сетевого или съемного диска. Также помещает в корень диска сопровождающий файл: <X2>:\autorun.inf который запускает исполняемый файл копии червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". * Создает копии тела червя в каталогах обмена файлами P2P-сетей под именами:
Crack.exe Keygen.exe
каталоги обмена файлами P2P-сетей получает анализируя параметры ключей системного реестра:
[HKCU\Software\BearShare\General Software\iMesh\General] [HKCU\Software\Shareaza\Shareaza\Downloads] [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\DC++] [HKCU\Software\eMule] [HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1]
* Для реализации функционала бэкдора соединяется с удаленными хостами:
gpl0***mon.org gpl0***inip.es irc.ek***edia.com
Червь способен по команде злоумышленника осуществлять загрузку файлов на зараженный компьютер. Загруженные файлы сохраняются во временном каталоге пользователя под случайными именем:
%Temp%\<rnd2>.exe
Где <rnd2> - случайное число.
Имеет возможность сохранять загруженные файлы в каталоги обмена файлами P2P-сетей, которые расположены на локальной машине а также в каталоги:
%ALLUSERSPROFILE%\Local Settings\Application Data\Ares\My Shared Folder %PROGRAM FILES%\LimeWire\LimeWire.propsr
По команде злоумышленника также возможна подмена файла "hosts":
%System%\etc\hosts
На момент создания описания никаких команд с серверов злоумышленника не приходило.
|
|
|
|
makadjamba |
19.8.2010, 15:27
|
Болтун :)
Группа: Модераторы
Сообщений: 8 723
Регистрация: 15.7.2010
Из: Усолье-Сибирское
Пользователь №: 281 112
Репутация: 335
|
Друзья!!! По последним данным в инете появился новый вирус под именем Snatch.
Такая информация поступает в ICQ-клиенты от пользователей из списка контактов:
Входящий файл: Snatch Размер: 916,50 Кб Внешний IP: 195.184.79.22 Внутренний IP: 0.0.0.0
Всем пользователям сети категорически не рекомендуем принимать этот файл. Учтите, это может быть опасно для вашего компьютера!
Так как в будущем название файла может измениться, стоит обратить внимание на его размер. В случае snatch.exe он составляет 916,5 килобайта.
Захватив ICQ-аккаунт, вирус способен поддерживать короткий диалог с пользователями в списке контактов. Вот некоторые фразы, которым его обучили создатели: "глянь ))", "нет, глянь )))", "ну мини игра типа )", "привет!".
Так как вирус распространяется в виде исполняемого файла .exe, в опасности находятся только пользователи Windows. Стоит отметить, что по состоянию на 16 августа большинство антивирусов не реагируют на данный файл.
Согласно отчету Virus Total, snatch.exe опознали как вредоносную программу лишь 9 антивирусов из 42: Authentium, BitDefender, Emsisoft, F-Prot, F-Secure, GData, Ikarus, Panda и Sunbelt.
Честно я сам чуть не словил его! Сволочь умеет отвечать примитивно. Насторожило название поэтому не принимал. Да и мало ли) задница тоже предупреждать умеет))
Как удалить вирус вручную!!!! В случае если «аська» уже заражена червем Snatch.exe и антивирус не может его распознать, порядок действий должен быть такой: 1)Запустить диспетчер задач (Ctrl+Alt+Del) и принудительно завершить процесс Snatch.exe. 2)Открыть папку, в которую сохранился вирус, и удалить его вручную. Далее удалить Snatch.exe из корзины. 3)Вычистить реестр Windows от всех ссылок на Snatch. Запуск реестра: открыть меню «Пуск» и набрать в командной строке «regedit», потом с помощью кнопки F3 произвести поиск по слову Snatch и удалить все ссылки на вирус. 4)Также не помешает переустановить ICQ и сменить пароль.
Сообщение отредактировал makadjamba - 19.8.2010, 15:28
|
|
|
|
o-kaipov |
27.8.2010, 9:31
|
Всё проходит...
Группа: Пользователи
Сообщений: 1 596
Регистрация: 7.10.2009
Пользователь №: 147 149
|
|
|
|
|
Feo |
23.12.2010, 20:06
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
"Доктор Веб": Новый троян отключает антивирусы излишне любопытным пользователям "ВКонтакте" Антивирусная компания "Доктор Веб" предупреждает о появлении нового метода противодействия работе антивирусов, реализованном в трояне Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети "ВКонтакте". Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, после запуска которого открывается окно Проводника Windows. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса. После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов, отмечают специалисты "Доктор Веб". Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались. После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут. После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создается иллюзия, что антивирусная защита системы продолжает работать в штатном режиме. Таким образом, отмечают эксперты, хотя большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.
» Спасибо сказали: «
|
|
|
|
Feo |
10.1.2011, 2:52
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Новая угроза: USB устройство со встроенным кейлоггером Исследователь в области информационной безопасности разработал миниатюрный программируемый кейлоггер, который может быть встроен в компьютерную мышь или клавиатуру. Разработчик и эксперт в области информационной безопасности Адриан Криншоу создал программируемый кейлоггер “PHUKD” (Programmable HID USB Keystroke Dongle), которое может быть встроено в плату любого USB устройства. Устойство разработано на на базе USB микроконтроллера Teensy. Заметим, что Криншоу, при создании своего устройства преследовал благие намерения. Он хотел упростить процесс тестирования для экспертов, специализирующихся на проведении тестов вручную. Однако, создатель обнаружил, что его устройство может быть использовано не только тестерами, но и злоумышленниками. Дело в том, что помимо того, что PHUKD имеет небольшие габариты, может быть запрограммировано на выполнение огромного количества задач, например, активироваться при запуске операционной системы. Причем соответствующие алгоритмы можно написать на языке С, а микроконтроллер доступен в любом магазине. На своем сайте, разработчик рассказал как его детище, встроенное в обычную компьютерную USB мышь, может превратиться в инструмент злоумышленника и при нажатии соответствующих клавиш незаметно передавать данные с компьютера на удаленный сервер. По мнению экспертов, это огромный и одновременно опасный шаг от обычных кейлоггеров, поскольку обнаружить его без соответствующего оборудования будет крайне затруднительным.
» Спасибо сказали: «
|
|
|
|
Feo |
13.1.2011, 22:41
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Сюрприз для любителей халявы Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы. Недавно нами (ЛК) был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe, а в поле “Company” его свойств указано “Trend Micro Inc”. Отображение вредоносного дроппера в проводнике После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ. Окно работающего кейгена Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером. Один из них «Лаборатория Касперского» детектирует как Trojan.MSIL.Agent.aor. Эта вредоносная программа ворует регистрационную информацию от других программ и пароли, в основном, к онлайн-играм, заботливо собирая украденные данные в одном файле. Фрагмент этого файла приведен на скриншоте ниже. Фрагмент файла, который заполняется регистрационными данными от соответствующего ПО Этот зловред также изменяет системный файл hosts, блокируя таким образом доступ к некоторым сайтам. Например, сайты virustotal.com и virusscan.jotti.org, предоставляющие сервис сканирования файлов многими антивирусными вендорами, будут недоступны для пользователя. Фрагмент измененного hosts-файла: Код ##Do not touch this file, changing it will cause SERIOUS damage to your computer 127.0.0.1 virustotal.com 127.0.0.1 www.virustotal.com 127.0.0.1 www.virusscan.jotti.org/ 127.0.0.1 www.virusscan.jotti.org/en 127.0.0.1 www.virusscan.jotti.org/en Второй установленный дроппером зловред — типичный бэкдор, который работает также в качестве кейлоггера, собирая информацию о нажатиях на клавиши. Детектируется он как Trojan.Win32.Liac.gfu. Так, запустив якобы генератор ключей для Kaspersky Internet Security, можно “поселить” на своем компьютере парочку серьезных зловредов, с которыми придется бороться KIS. Если, конечно, сгенерированные ключи сработают.
» Спасибо сказали: «
|
|
|
|
Feo |
15.1.2011, 22:06
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Гибрид ZeuS и SpyEye уже в продаже Исследователи в области безопасности компании McAfee предупреждают о появлении на черном рынке нового инструментария для мошенников - "SpyEye / ZS Builder", созданного на базе двух опасных ботнетов ZeuS и SpyEye. Сборка появилась лишь несколько дней назад, однако ее выход может стать серьезной угрозой. Напомним, что несколько месяцев назад создатель популярного среди киберпреступников ботнета ZeuS, объявил об уходе, передав все права на свое детище другому разработчику и создателю ботнета SpyEye, известного под ником «harderman». Последний же сообщил, что планирует создать новый, более мощный инструмент, взяв «лучшее» от упомянутых ботнетов. Согласно экспертам, сборка обладает интерфейсом SpyEye, однако ее функционал дополнен некоторыми возможностями ZeuS. Кроме того, создатель улучшил функцию извлечения паролей; добавил уведомление по Jabber; включил модуль VNC, а также функции автоматического распространения и обновления; разработал «уникальную» программную заглушку и усовершенствовал систему создания скриншотов. При этом новый ботнет предлагается по цене существенно ниже, чем ее предшественники, что может послужить росту его популярности в мире киберпреступников.
» Спасибо сказали: «
|
|
|
|
Feo |
20.1.2011, 23:03
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
SMS-троянцы - новый виток Вчера "Лабораторией Касперского" была зафиксирована очередная SMS-спам рассылка, содержащая ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f. Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2. Текст спам-сообщения выглядел следующим образом: Сама вредоносная программа маскируется под "виртуальную открытку": По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется ЛК как Trojan-SMS.J2ME.Smmer.f. О другой подобной рассылке ЛК писали ранее. Чем же отличаются эти случаи? В случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое - на короткий номер 3116; второе - на короткий номер 8464. Стоимость сообщения на любой из данных коротких номеров равна... 0 рублям! В очередной раз всплывает старый вопрос: "Где деньги?" Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида: Номер_телефона_получателя Сумма_перевода Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом "9654*****2 200". Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом "1". Данная SMS'ка необходима для подтверждения перевода средств с одного телефона на другой. Наблюдались похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии. Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения.
» Спасибо сказали: «
|
|
|
|
Feo |
24.1.2011, 20:07
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Разработан троян - перехватчик для Android Группой исследователей в области безопасности создан экспериментальный образец трояна для операционной системы Android. Зловред предназначен для прослушивания и перехвата персональных данных во время разговора или набора текстовых сообщений. Как сообщается, троян «Soundminer» замаскирован под приложение, которое по функциональному предназначению напоминает диктофон. Однако, этот «диктофон» при установке запрашивает доступ ко всем приложениям и функциям телефона, включая доступ к сети, доступ к внешним и внутренним устройствам хранения информации, а также к аппаратным функциям устройства, такие как: подсветка экрана, светодиодная подсветка или доступ к микрофону. С момента установки, программа, пребывая в фоновом режиме, без каких-либо уведомлений записывает все звонки и передаваемые сообщения. Затем производится местный анализ данных и сбор нужной информации. Причем зловред работает в двухстороннем режиме, то есть, «на мушку» берется и собеседник жертвы. Кроме того, программа снабжена функцией перехвата и распознавания тоновых сигналов при наборе с виртуальной клавиатуры, которые затем конвертируются в числовые значения. Исследователи также предусмотрели момент передачи «ценной информации» злоумышленнику. Дело в том, что самостоятельно программа не может отправлять данные на удаленный сервер, поскольку у нее нет таких полномочий, иначе это вызвало бы подозрения при установке. Было решено разработать еще одно приложение «Deliverer», которое будет иметь доступ к сети. Учитывая то, что разработчики операционной системы исключили возможность обмена информацией между двумя приложениями без уведомления пользователя, ученые снабдили новое приложение возможностью «читать» любые изменения подсветки экрана или уровня звука. Таким образом, перехватчик, изменив определенным образом эти паратметры, может передать собранную информацию «Deliverer», а уж последний доведет дело до конца. Согласно мнению исследователей, в качестве защиты от такого зловреда можно предусмотреть редактируемый список номеров телефонов, для которых запись звуковых сообщений будет запрещена. Однако создание такой возможности пока только в планах. Свою разработку ученые планируют представить на очередном симпозиуме Network & Distributed System Security Symposium, который пройдет в Сан – Диего, штат Калифорния.
» Спасибо сказали: «
|
|
|
|
Feo |
26.1.2011, 22:24
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Пользователи ICQ подверглись новой атаке Исследователи в области безопасности компании «Лаборатория Касперского» предупреждают пользователей о распространении вредоносных рекламных сообщений через ICQ. За последние несколько дней, мы получили многочисленные отчеты с компьютеров, зараженных фэйковым антивирусом (scareware) Antivirus 8. Пользователи получали уведомления лже-антивируса тогда, когда система находилась в режиме неактивности (простоя). В ходе наших исследований выяснялось, что эти уведомления будут отображаться тогда, когда ICQ пытается показать новую рекламу. Мы установили ICQ и подождали несколько минут, чтобы появилась реклама. В итоге, получили следующее: Эта страница находилась на хостинге ****.charlotterusse.eu. Судя по наличию на странице фрейма, можно сказать, что рекламный сервер был взломан, не так ли? Не совсем. Мы провели несколько исследований и обнаружили, что других серверов нет, кроме как charlotterusse.com - по-настоящему принадлежащего брэнду одежды. Это значит, что кто-то создал видимость работы действующего магазина, чтобы рекламное агентство не заблокировало размещение рекламы, поскольку очевидные мошеннические заявки отсеиваются. Но самое интересно то, что эти самые "кто-то" сделали вид, что их сервер якобы взломали, тем самым, снимая с себя ответственность на распространение вредоносного кода. А вину возлагать на взломщиков. Рекламное агентство, скорее всего, даст только предупреждение злоумышленникам, давая им повод в дальнейшем заражать компьютеры пользователей. Это лишь один пример такой ситуации, когда безвредная программа может атаковать компьютеры. И, соответственно показывает, что независимо от обстоятельств, защита от вредоносных программ просто необходима. Мы так же отослали уведомление менеджеру рекламного агентства, но ответа до сих пор не получили. Перевел Feo
» Спасибо сказали: «
|
|
|
|
Feo |
28.1.2011, 23:02
|
МЕГА флудер
Группа: VIP
Сообщений: 8 239
Регистрация: 1.8.2007
Из: Новосибирск
Пользователь №: 3 050
|
Еще один эксплойт для уязвимостей в Adobe Reader Утром 27 января зарегистрирован новый эксплойт, который стал 50-миллионным образцом, попавшим в базу данных вирусного программного обеспечения. Согласно источнику, эксплойт обнаружен в PDF файле, который пытался проникнуть в систему, эксплуатируя уязвимость в Adobe Reader. Вредонос пока не идентифицирован и не имеет названия, однако антивирусные продукты компаний Authentium, Eset, F-Prot, Kaspersky и McAfee обнаружили подозрительный объект, провозгласив об этом: "HEUR:Exploit.Script.Generic". Что касается остальных антивирусов, то тут остается надеяться, что они отреагируют на характерное поведение зловреда при открытии файла. Новый образец лишь подтверждает то, что злоумышленники не пытаются использовать уязвимости в операционных системах или обозревателях для проникновения в систему; вместо этого вирусописатели сосредоточились на использовании ошибок в коде приложений. Помимо Adobe Reader они используют уязвимости в плагинах Flash и Java. В случае если на компьютере установлена устаревшая версия приложения с известными уязвимостями, то проникновение в систему становистя минутным делом. В связи с этим эксперты настоятельно советуют пользователям обновлять их программное обеспечение до актуального состояния.
» Спасибо сказали: «
|
|
|
|
di_con |
9.2.2011, 9:54
|
Болтун
Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475
Репутация: 31
|
Новинка от кибермошенников: подписка без уведомления «Лаборатория Касперского» предупреждает пользователей о появлении новой схемы работы кибермошенников с использованием СМС-блокеров. В отличие от традиционного алгоритма, когда для получения кода разблокировки компьютера необходимо было выслать на указанный номер платное СМС-сообщение, теперь злоумышленники пошли более «гуманным» путем. В окне, которое появляется на Рабочем столе, пользователя просят указать номер телефона, на который совершенно бесплатно приходит СМС с кодом разблокировки. На чем же зарабатывают мошенники? После разблокировки на телефон «счастливчика» с завидной регулярностью и частотой начинают приходить СМС-сообщения сомнительного содержания, а его баланс стремится к нулю, сообщает Лаборатория Касперского. Оказывается, что, введя свой номер мобильного телефона и подтвердив его подлинность, пользователь автоматически принимает условия некого лицензионного соглашения, которое помимо всего прочего включает услугу «Подписка», естественно, предоставляемую на платной основе. Как правило, избавиться от подобной «услуги» можно, обратившись к оператору мобильной связи с требованием отписаться от ненужной Подписки. Существует и другой способ: не выполнять условия соглашения со своей стороны, то есть не оплачивать навязанную услугу. Для этого достаточно в течение определенного времени (обычно неделю) не пополнять баланс. Однако, согласитесь, сегодня прожить без мобильного телефона хотя бы день, может далеко не каждый, не говоря уже о неделе.
» Спасибо сказали: «
|
|
|
|
di_con |
26.2.2011, 20:54
|
Болтун
Группа: Sibnet-club
Сообщений: 625
Регистрация: 22.11.2008
Пользователь №: 62 475
Репутация: 31
|
Испанские эксперты предупредили об опасном троянском коне » Спойлер (нажмите, чтобы прочесть) « Специалисты из компании S21sec сочли необходимым привлечь внимание общественности к новой угрозе для пользователей услуг онлайн-банкинга. Вредоносная программа, которую они называют "Tatanga", представляет собой интересный образец инфекции с комбинированным функционалом; на момент обнаружения вирус вызвал подозрения лишь у девяти защитных решений из арсенала мультисканера VirusTotal.
Сообщается, что троянский конь состоит из нескольких модулей различного назначения, которые хранятся в криптованном виде и расшифровываются по мере необходимости. Стиль его атаки традиционен - "внедренный посредник", а точнее та его разновидность, которая направлена против Интернет-обозревателей (man-in-the-browser). На данный момент целью Tatanga являются пользователи из ряда западноевропейских стран; в частности, под угрозой находятся клиенты британских, немецких, испанских и португальских банков.
Исследователи перечислили в корпоративном блоге основные конструктивные элементы троянского коня. Разнообразные модули, входящие в его состав, обеспечивают: - извлечение и сбор электронных адресов, - поддержку зашифрованных соединений, - уничтожение конкурирующего вредоносного ПО (например, ZeuS), - борьбу с антивирусными продуктами, - обработку криптованного файла конфигурации, - внедрение HTML-кода. Также аналитики обнаружили в пакете модификатор файлов, однако пока что не смогли определить его точное назначение.
Компоненты "ModEmailGrabber" и "ModMalwareRemover" (сборщик адресов и уничтожитель вирусов-конкурентов соответственно), по мнению исследователей, могут являться частями более древнего бот-клиента, датируемого 2008 годом. Интересно, что защитное решение от Microsoft определило Tatanga как "Trojan:Win32/Mariofev.B", в то время как первый представитель этого семейства - Mariofev.A - был внесен в базу данных сигнатур как раз в октябре 2008.
Троянский конь обменивается данными с удаленным сервером управления; посредниками в этом процессе выступают семь веб-ресурсов, адреса которых указаны непосредственно в теле вредоносной программы. Информация передается по зашифрованному каналу, однако криптозащита не особенно сильна.
Можно сказать, что Tatanga умеет внедрять HTML-код в страницы, отображаемые в любом обозревателе: список поддерживаемых браузеров включает Internet Explorer, Firefox, Chrome, Opera, Minefield, Maxthoon, Netscape, Safari и даже Konqueror. В числе других особенностей, заслуживающих упоминания, можно назвать поддержку 64-битных выпусков Windows, защиту от запуска в виртуальной среде, использование возможностей мобильного фишинга и обход контуров безопасности, устанавливаемых плагином Trusteer Rapport.
» Спасибо сказали: «
|
|
|
|
|
|
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|