Осторожно!
| |
Battle | Дата: Четверг, 2006.02.16, 01:20:51 | Сообщение # 1 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| ПРИВЕСТВУЮ В этой теме будут посты посвященой проблемы троянов и прочих тварей. Описание червя (вируса), как его вычеслить, имена и т.д.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:21:32 | Сообщение # 2 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan-Downloader.Win32.VB.ft Другие названия Trojan-Downloader.Win32.VB.ft («Лаборатория Касперского») также известен как: Trojan.DownLoader.1038 (Doctor Web), Troj/Abox-A (Sophos), TrojanDownloader:Win32/ABoxins.A (RAV), TROJ_ABOX.A (Trend Micro), TR/Dldr.VB.FT (H+BEDV), Downloader.VB.5.J (Grisoft), Trojan.Downloader.VB.FT (SOFTWIN), Trojan.Downloader.VB-11 (ClamAV), Trj/Downloader.gen (Panda) Детектирование добавлено 18 ноя 2004 Описание опубликовано 23 май 2005 Поведение Trojan-Downloader, троянский загрузчик Технические детали Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), имеет размер примерно 32 КБ, написана на MS Visual Basic. После запуска троянец создает файл ABox.ftp в следующем каталоге: %Windir%\Temp\ABox.ftp Троянец пытается скачать из интернета файл ABox.exe, сохранить его в корневом каталоге Windows и запустить его на зараженном компьютере. Данный файл является рекламной программой not-a-virus:AdWare.AdBox.a.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:22:22 | Сообщение # 3 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| P2P-Worm.Win32.Alcan.a Другие названия P2P-Worm.Win32.Alcan.a («Лаборатория Касперского») также известен как: W32/Alcan.worm!p2p (McAfee), W32.Alcra.A (Symantec), Win32.HLLW.Generic.145 (Doctor Web), WORM_ALCAN.A (Trend Micro), Worm/Alcan.A.1 (H+BEDV), Worm/Alcan.A (Grisoft), Win32.Worm.Alcan.A (SOFTWIN), Trojan.Spybot-123 (ClamAV), W32/Sdbot.DDP.worm (Panda), Win32/Alcan.A (Eset) Детектирование добавлено 10 май 2005 Описание опубликовано 23 май 2005 Поведение P2P-Worm, червь для файлообменных сетей Технические детали Вирус-червь, распространяющийся через интернет по сетям файлообмена. Содержит в себе бэкдор-функцию. Червь является приложением Windows (PE EXE-файл) и имеет размер около 423 КБ. Инсталляция После запуска червь выдает окно следующего содержания: После чего появляется данная ошибка: При инсталляции червь копирует себя со следующими именами в корень диска C: и в каталог %Program Files%: %Program files%\MsConfigs\MsConfigs.exe C:\z.tmp Также в корне диска C: червь создает свою копию в архиве с именем temp.zip: C:\temp.zip Данный архив содержит копию червя с именем setup.exe. После чего в системном каталоге Windows червь создает свой бэкдор-компонент с именем p2pnetwork.exe: %System%\p2pnetwork.exe Также в системном каталоге Windows червь создает следующие файлы: %System%\bszip.dll %System%\cmd.com %System%\n etstat.com %System%\ping.com %System%\regedit.co m %System%\taskkill.com %System%\tasklist.com % System%\tracert.com Далее червь регистрирует свои файлы в ключах автозагрузки системного реестра: [HKCU\Software\Microsoft\Ole] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run ] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services] [HKCU\System\CurrentControlSet\Control\Lsa] [HKLM\Software\Microsoft\Ole] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services] [HKLM\System\CurrentControlSet\Control\Lsa] "p2pnetwork"="p2pnetwork.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] "MsConfigs"="%Program files%\MsConfigs\MsConfigs.exe" Размножение через P2P Червь проверяет наличие установленного на машине P2P-клиента и копирует себя в следующие каталоги общего доступа: \Ares\My Shared Folder \Bearshare\Shared \Edonkey2000\Incoming \ eMule\Incoming \gnucleus\downloads \grokster\my grokster \Kazaa\My Shared Folder \Limewire\Shared \morpheus\My Shared Folder \rapigator\share \shareaza\downloads \sh ared My Shared Folder После чего зараженный файл будет доступен другим пользователям клиента P2P. Удаленное администрирование Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:23:05 | Сообщение # 4 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Eyeveg.b Другие названия Worm.Win32.Eyeveg.b («Лаборатория Касперского») также известен как: Uploader-H (McAfee), W32.Lorac (Symantec), Win32.HLLW.Eyeveg (Doctor Web), Troj/Mimail-E (Sophos), Win32/HLLW.Eyeveg.A (RAV), WORM_LORAC.A (Trend Micro), W32/Eyeveg.C (FRISK), Win32:Trojan-gen. (ALWIL), Worm/Lorac.B (Grisoft), Win32.Eyeveg.B@mm (SOFTWIN), Worm Generic (Panda), Win32/Eyeveg.C (Eset) Описание опубликовано 23 май 2005 Поведение Net-Worm, интернет-червь Технические детали Вредоносная программа, написанная на Visual C++. Упакована UPX. Размер файла — 41480 байт. Инсталляция Копирует себя в системную директорию под произвольным шестибуквенным именем. Добавляет запись в реестр для автозагрузки: [HKLM/Software/Microsoft/Windows/CurrentVersion/Run] Скрывает свой процесс на Win9x-системах. Вредные действия Собирает различные сведения о системе (данные об общих папках (shares), файлах, пароли автосохранения Internet Explorer, пароли от электронной почты, прокси-сервер и др.) и отсылает их при помощи http POST запроса на адре www.melan******oll.biz/u2.php. Распространение по сети Может копировать себя в открытые общие папки.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:24:19 | Сообщение # 5 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Net-Worm.Win32.Mytob.q Другие названия Net-Worm.Win32.Mytob.q («Лаборатория Касперского») также известен как: W32/Mydoom.gen@MM (McAfee), W32.Mytob.U@mm (Symantec), Win32.HLLM.MyDoom.21 (Doctor Web), Win32/Mytob.S@mm (RAV), WORM_MYDOOM.GEN (Trend Micro), Worm/Mytob.Z (H+BEDV), W32/Mytob.AF@mm (FRISK), Win32.Worm.Mytob.Q (SOFTWIN), Worm.Mytob.H-3 (ClamAV), W32/Mytob.W.worm (Panda), Win32/Mytob.U (Eset) Детектирование добавлено 08 апр 2005 Описание опубликовано 23 май 2005 Поведение Net-Worm, интернет-червь Технические детали Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 51 КБ, упакован UPack. Размер распакованного файла около 241 KБ. Написан на Visual C++. Вирус распространяется, используя уязвимости Microsoft Windows LSASS (MS04-011) и Microsoft Windows DCOM RPС (MS03-026). Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь основан на исходных кодах Email-Worm.Win32.Mydoom. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя в системный каталог Windows со следующими именами: %System%\nethell.exe %System%\taskgmr.exe Такж е червь создает свои копии в корне диска C: со следующими именами: C:\funny_pic.scr C:\my_photo2005.scr C:\see_th is!!.scr Затем червь регистрирует себя в ключах автозапуска системного реестра: [HKCU\Software\Microsoft\OLE] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run ] [HKCU\SYSTEM\CurrentControlSet\Control\Lsa] [HKLM\Software\Microsoft\OLE] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services] [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] "WINTASK"="taskgmr.exe" Червь создает уникальный идентификатор «H-E-L-L-B-O-T» для определения своего присутствия в системе. Распространение через интернет Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или DCOM RPС, запускает на удаленной машине свой код. Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения: adb asp dbx htm php pl sht tbb wab При этом червем игнорируются адреса, содержащие следующие подстроки: .edu .gov .mil accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca cer tific contact example feste fido foo. fsf. g nu gold-certs google gov. help iana ibm.com i crosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla mydomai no nobody nodomai noon e not nothing ntivi page panda pgp postmast er privacy rating rfc-ed ripe. root ruslis s amples secur sendmail service site soft some body someone sopho submit support syma tanfo rd.e the.bat unix usenet utgers.ed webmaster y ou your При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Отправитель: Имя отправителя включает в себя одну из следующих строк: adam alex andrew anna bill bob brenda bre nt brian britney bush claudia dan dave davi d debby fred george helen jack james jane j erry jim jimmy joe john jose julie kevin leo linda lolita m admax maria mary matt michael mike peter ra y robert sam sandra serg smith stan steve t ed tom Тема письма: Выбирается из следующего списка: Error Good Day hello hi Mail Delivery System Mail Transaction Failed Server Report Status Текст письма: Выбирается из следующего списка: Here are your banks documents. Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. The original message was included as an attachments. Имя файла-вложения: Выбирается из следующего списка: body data doc document file message readme test text Вложения могут иметь одно из следующих расширений: bat cmd doc exe htm pif scr tmp txt zip Распространение через локальные сети Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта «Administrator». При переборе паролей использует следующую таблицу: !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* % 0 00 000 0000 00000 000000 00000000 0 07 007 0wn3d 0wned 1 110 111 111 111111 1 1111111 11111111 12 121 121 121212 123 1231 23 123321 1234 12345 123456 1234567 12345678 123456789 12346 123467 1234678 12346789 123 467890 1234qwer 123abc 123asd 123qwe 2002 20 03 2600 54321 54321 54321 654321 654321 aaa abc abc123 abcd ACCESS access access accou nt accounting accounts accounts adm admin AD MIN Admin admin123 Administrador Administrateu r administrator ADMINISTRATOR Administrator af ro asd backup barbara bill blank brian bruc e capitol changeme cisco CISCO Cisco compaq c ontrol ctx data database databasepass databas epassword db1 db1234 dbpass dbpassword defaul t dell domain domainpass domainpassword excha nge exchnge fish frank fred fred freddy fuc k george glen god guest GUEST Guest headoff ice heaven hell home homeuser hq ian internet internet intranet joan joe j ohn kate katie lan lee login loginpass luke mail main mary mass mike neil nokia none n ull oem oeminstall oemuser office orange out look owa pass pass123 pass1234 passphra pass wd password PASSWORD Password password1 passw ord123 peter peter pink qaz qwe qwerty ron r oot Root ROOT sa sage sam server sex sieme ns spencer sql sqlpass staff student student 1 sue susan system teacher technical test t urnip unknown Unknown user USER User user u ser1 user1 user1 usermane username userpasswo rd userpassword web win win2000 win2k win98 w indose windows windows2k windows95 windows98 w indowsME WindowsXP windowz windoze windoze2k w indoze95 windoze98 windozeME windozexp wine w ing winnt winpass winpass winston winxp wire d www xp xp xx xxx xxxx xxxxx xxxxxx xxxx xxx xxxxxxxx xxxxxxxxx yellow При удачном соединении червь копирует себя на удаленную машину и запускается на ней на исполнение. Удаленное администрирование Mytob.q открывает на зараженной машине TCP-порт 6667 для соединения с IRC-каналами для приема команд. Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять. Прочее Червь изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам: 127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:25:09 | Сообщение # 6 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Win32.Eyeveg.g Другие названия Worm.Win32.Eyeveg.g («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.k (McAfee), W32.Lanieca.B@mm (Symantec), Win32.HLLW.Eyeveg.3 (Doctor Web), W32/Bugbear-B (Sophos), WORM_WURMARK.J (Trend Micro), Worm/Eyeveg.g (H+BEDV), W32/Eyeveg.J (FRISK), Worm/Eyeveg.H (Grisoft), Win32.Wurmark.K@mm (SOFTWIN), Trojan.W32.PWS.Prostor.A (ClamAV), Win32/Eyeveg.K (Eset) Детектирование добавлено 23 май 2005 Описание опубликовано 23 май 2005 Поведение Net-Worm, интернет-червь Технические детали Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Вредоносная программа написана на Visual C++. Состоит из двух файлов — исполняемого EXE и динамической библиотеки DLL, которая хранится в EXE-файле в виде ресурса. По своим функциям Eyeveg.g полностью идентичен варианту Eyeveg.f. Отличается от него лишь размером исполняемого файла и версией программы упаковщика. Исполняемый файл Eyeveg.g имеет размер 78336 байт.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:34:58 | Сообщение # 7 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Backdoor.Win32.Haxdoor.cn Другие названия Backdoor.Win32.Haxdoor.cn («Лаборатория Касперского») также известен как: BackDoor-BAC.gen.b (McAfee), Backdoor.Haxdoor.D (Symantec), Bck/Haxdoor.AW (Panda) Детектирование добавлено 23 мар 2005 Описание опубликовано 20 май 2005 Поведение Backdoor, троянская программа удаленного администрирования Технические детали Программа упакована FSG, размер в упакованном виде — около 50 КБ. Скрывает свое пребывание в системе. Инсталляция После запуска вирус переносит свой файл в системную директорию Windows под именем mszx23.exe. Далее на машину-жертву, в системную директорию, устанавливаются остальные модули программы: cz.dll drct16.dll hz.sys vdmt16.sys winlow.s ys wz.sys Модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть ни на диске, ни в процессах при загруженной операционной системе. Все файлы за исключением cz.dll, являющегося основным модулем бэкдора, устанавливаются только на операционных системах семейства Windows NT. Программа регистрирует себя в системном реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16] "DllName"="drct16.dll" "Startup"="MeMessager" "Impersonate"="1" "Asynchronous"="1" "MaxWait"="1" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_VDMT16\0000\Control] "ActiveService"="vdmt16" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINLOW\0000\Control] "ActiveService"="winlow" В том числе в списке сервисов под именами VIRTwin и SCNDmem. Соответствующие ключи реестра: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\v dmt16] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w inlow] Действия Открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации и произведения других несанкционированных действий. <Non-existant Process>:636 TCP win2k_105:10244 win2k_105:0 LISTENING <Non-existant Process>:636 TCP win2k_105:17981 win2k_105:0 LISTENING <Non-existant Process>:636 TCP win2k_105:23065 win2k_105:0 LISTENING Сразу после запуска отправляет автору на заданный email-адрес электронное письмо с краткой системной информацией и IP-адресом зараженной машины. Имеет в своем арсенале большой набор команд для удаленного администрирования. Может сохраняет логи нажатий клавиш и списки открытых окон. Сохраняет собранную информацию в файлах, находящихся в системной директории и так же сокрытых от системных вызовов операционной системы, как и исполняемые модули: fltr.a3d i.a3d klogini.dll p2.ini redir.a3d tnfl.a3d
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:35:27 | Сообщение # 8 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan-Clicker.Win32.Small.a Другие названия Trojan-Clicker.Win32.Small.a («Лаборатория Касперского») также известен как: TrojanClicker.Win32.Small.a («Лаборатория Касперского»), AdClicker-S (McAfee), Trojan Horse (Symantec), BackDoor.Teenco (Doctor Web), Troj/AdClick-S (Sophos), TrojanClicker:Win32/Small.A (RAV), TROJ_SMALL.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Clicker.Small.A (SOFTWIN), Trojan Horse (Panda), Win32/TrojanClicker.Small.A (Eset) Описание опубликовано 20 май 2005 Поведение Trojan-Clicker, интернет-кликер Технические детали Троянская программа. Создана для фальсификации статистики посещаемости сайт www.teencollegeusa.com. Для этого с периодичность один раз в секунду происходит обращение по адресу из списка (адрес выбирается по случайному принципу): www.teencollegeusa.com/jen/count.php www.teencollegeusa.com/xxx/count.php При этом, все запросы к данным адресам, приписываются http://google.com/, т.е. популярной поисковой системе. Для предотвращения повторного запуска, создает в системе объект синхронизации (Mutex) с именем «MatrixMutex». Создает ключ реестра для автозапуска: [SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MatrixScreenSaver"="<path_to_exe>" Содержит строки: HTTP/1.1 Referer: http://google.com/ User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt) User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90) User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90) User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Имеет размер около 3 КБ (упакована UPX), и 8 КБ в распакованном виде. Других вредоносных действий не производит.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:36:00 | Сообщение # 9 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan-Spy.Win32.Lydra.a Другие названия Trojan-Spy.Win32.Lydra.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Lydra.a («Лаборатория Касперского»), BackDoor-CFJ (McAfee), BackDoor.Voron (Doctor Web), Troj/Lydra-A (Sophos), TrojanSpy:Win32/Lydra.A (RAV), TROJ_LYDRA.A (Trend Micro), TR/Win32.Lydra.A (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Lydra.A (Grisoft), Trojan.Spy.Lydra.A (SOFTWIN), Trojan.Lydra.A (ClamAV), Win32/Spy.Lydra.A (Eset) Описание опубликовано 20 май 2005 Поведение Trojan-Spy, программа-шпион Технические детали Вредоносная программа написана на Delphi, упакована UPX. Размер файла составляет примерно 26 КБ. Инсталляция При запуске копирует себя в директорию Windows под именами INTERNAT.EXE и MDM.EXE. Добавляет записи для автозагрузки в реестр: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices] [HKEY_USERS\S-1-5-21-583907252-764733703-839522115- 500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer\Run] "INTERNAT"="%WINDIR%\INTERNAT.EXE" [HKEY_USERS\S-1-5-21-583907252-764733703-839522115- 500\Software\Microsoft\Windows\CurrentVersion\Run] "MDM"="%WINDIR%\mdm.exe" Также копирует себя в папку автозагрузки меню «Пуск» под именем msoffice.exe. На NT-системах дополнительно добавляет запись об автозагрузке в список сервисов (под именем INTERNAT). Создает папку IME в директории Windows и хранит в ней лог-файл с именем err.dat. Скрывает свой процесс на Win9x-системах. Если год текущей даты старше, чем 2004, то программа завершается и деинсталлируется, оставляя в файле err.dat запись: Period of validity expired. Look for new version the KI_Scaner programm in Internet or buy KI_Scaner Pro Действия Собирает различную системную информацию (имя компьютера, списки файлов, настройки системы, конфигурацию оборудования) и отсылает ее автору на несколько email-адресов.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:36:26 | Сообщение # 10 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Backdoor.Win32.Netbus.170 Другие названия Backdoor.Win32.Netbus.170 («Лаборатория Касперского») также известен как: NetBus (McAfee), BackDoor.NetBus.170 (Doctor Web), Troj/Netbus-A (Sophos), Backdoor:Win32/NetBus.1_70 (RAV), BKDR_NETBUS.C (Trend Micro), TR/NB/Patch-1.7 (H+BEDV), W32/NetBus.backdoor.494592.B (FRISK), Win32:NetBus-17 (ALWIL), BackDoor.Netbus.BC (Grisoft), Trojan.Netbus.A (SOFTWIN), Trojan.Netbus.KeyHook170 (ClamAV), Bck/Netbus.I (Panda), Netbus.170 (Eset) Описание опубликовано 20 май 2005 Поведение Backdoor, троянская программа удаленного администрирования Технические детали Программа предоставляет полный контроль над компьютером-жертвой, обеспечивает неограниченный доступ злоумышленнику для осуществления различных действий на компьютере пользователя, например, загрузки или скачивания файлов, запуска приложений, получения снимков экрана и т.п. Также имеет функционал keylogger, т.е. протоколирование ввода с клавиатуры для перехвата паролей и другой конфиденциальной информации. Данная программа устанавливает свои файлы в следующие папки (имя файлов может отличаться): %Windir%\KeyHook.dll %Windir%\MSCOMCNFG.EXE Ms comcnfg.exe — основной компонент, который обеспечивает доступ к компьютеру пользователя. KeyHook.dll — компонент, который ведет протокол ввода с клавиатуры. Программа написана на Delphi, в ее полный состав может входить 5-7 файлов общим объемом около 5 МБ (размер основной компоненты — около 500 КБ). Содержит текст: Could not update NetBus server (probably running). NetBus 1.70 NetBus server is running on at port Set password on NetBus-server: Subject: NetBus server is up and running
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:53:53 | Сообщение # 11 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Bagz.g Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 167КБ, упакован UPX. Размер распакованного файла около 200КБ. Инсталляция После запуска червь создает в системном каталоге Windows следующие файлы: C:\WINDOWS\SYSTEM32\sysinfo32.exe C:\WINDOWS\SY STEM32\trace32.exe Также червь копирует себя в системный каталог Windows с именем: C:\WINDOWS\SYSTEM32\sqlssl.doc .exe Затем червь создает запись в системном реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Xuy v palto] Размножение через email Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты. TBB tbb TBI tbi DBX dbx HTM htm TXT txt Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @foo @iana @messagelab @microsoft abus e admin administrator@ all@ anyone@ bsd bugs @ cafee certific certs@ contact@ contract@ f este free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp linux listserv local netadmin@ news nob ody@ noone@ noreply ntivi oocies panda pgp p ostmaster@ rating@ root@ samples sopho spam s upport support@ unix update webmaster@ winrar winzip Характеристики зараженных писем Тема письма: Выбирается из списка: ASAP Administrator Allert! Amirecans Att at tach attachments best regards contract Have a nice day Hello Money office please responce re: Andrey re: order re: please Read this Russian's text toxic urgent Vasia waiti ng Warning Текст письма: Выбирается из списка: Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards Hi I was in a rush and I forgot to attach an important document. Please see attached doc file. Best Regards, Sorry to bother you, but I am having a problem receiving your emails. I am responding to your last email in the attached file. Please get back to me if there is any problem reading the attachment. I am responding to your last email in the attached file. I had a delivery problem with your inbox, so maybe you'll receive this now. Can you please check out the email I have attached? For some reason, I received only part of your last several emails. I want to make sure that there are no problems with either of our accounts. This email is being sent as attachment because it was previously blocked by your email filters. Please view the attachment and respond. Thanks I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks I apologize, but I need you to verify that I have the correct contact info for you. My system crashed last weekend and I lost most of my friends and work contacts. Please check the attached (.pdf) and please let me know if your info is current. My last email to you was returned. The reason is that I am not currently added to your allowed contact list. Please add my updated contact info provided in the attached (.pdf) file so I can send you emails in the future. Sincerely I have updated my email address See the (.pdf) file attached and please respond if you have any questions. We have made recent updates to our database. Please verify your mailing address on file is correct. We have attached a (.pdf) sheet for you to use for your response. Hello Our contact information has changed. See the attached (.pdf) sheet for details. Sincerely, ***URGENT: SERVICE SHUTDOWN NOTICE*** Due to your failure to comply with our email Rules and Regulations, your email account has been temporarily suspended for 24 hours unless we are contacted regarding this situation. You must read the attached document for further instructions. Failure to comply will result in termination of your account. Regards, Net Operator ***URGENT: SERVICE SHUTDOWN NOTICE*** ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** You are currently unable to send emails. This may be a billing issue. Please call the billing center. The # for the billing office is located in the attached contact list for your convenience. ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, The previous email you sent has been recognized as spam. This means your email was not delivered to your friend or client. You must open the attached file to receive more information. ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, What version of windows you are using? This last document I received from you came out weird. Please see the attached word file and resend the file to me. Many thanks, User Hello, My PC crashed while I was sending that last email. I have re-attached the document of yours that I discovered. Please read attached document and respond ASAP. Sincerely, User Hello, Your email was sent in an INVALID format. To verify this email was sent from you, simply open the attached email (.eml) file and click yes in the sender options box. Thank You, User Hello, Your email was received. YOUR REPLY IS URGENT! Please view the attached text file for instructions. Regards, User Hello, I was in a hurry and I forgot to attach an important document. Please see attached. Best Regards, User Hello, I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks,User Hello, Sorry, I forgot to attach the new contact information. Please view the attached (.pdf) contact sheet. Sincerely, User Имя файла-вложения: Выбирается из списков: about.zip admin.zip archivator.zip archives.z ip ataches.zip backup.zip docs.zip documentati on.zip help.zip inbox.zip manual.zip outbox.zi p payment.zip photos.zip rar.zip readme.zip s ave.zip zip.zip about.doc .exe admin.doc .exe archivator.doc .exe archives.doc .exe ataches.doc .exe backup.doc .exe docs.doc .exe documentation.doc .exe help.doc .exe inbox.doc .exe manual.doc .exe outbox.doc .exe payment.doc .exe photos.doc .exe rar.doc .exe readme.doc .exe save.doc .exe sqlssl.doc .exe zip.doc .exe Действие I-Worm.Bagz.g изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст, запрещая доступ к следующим ресурсам: 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 localhost 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com Червь удаляет из системного реестра ключи, содержащие следующие строки: 804mbd1.chk 804mbd1.img aboutplg.dll alert.za p appinit.ini apwcmdnt.dll apwutil.dll ashavas t.exe ashbug.exe ashchest.exe ashdisp.exe ashl dres.dll ashlogv.exe ashmaisv.exe ashpopwz.exe a shquick.exe ashserv.exe ashsimpl.exe ashskpcc.e xe ashskpck.exe aswboot.exe aswregsvr.exe aswu pdsv.exe avcompbr.dll avres.dll bootwarn.exe c amupd.dll ccavmail.dll ccimscan.dll ccimscn.exe cerbprovider.pvx cfgwiz.exe cfgwzres.dll defa lert.dll djsalert.dll dunzip32.dll edisk.dll e mail.zap emscnres.dll filter.zap firewall.zap f ramewrk.dll ftscnres.dll idlock.zap imscnbin.in f imscnres.inf ltchkres.dll mcappins.exe mcavt sub.dll mcinfo.exe mcmnhdlr.exe mcscan32.dll m cshield.dll mcshield.exe mcurial.dll mcvsctl.dl l mcvsescn.exe mcvsftsn.exe mcvsmap.exe mcvsrte.exe mcvsscrp.d ll mcvsshl.dll mcvsshld.exe mcvsskt.dll mcvswo rm.dll mghtml.exe mpfagent.exe mpfconsole.exe m pfservice.exe mpftray.exe mpfupdchk.dll mpfwiza rd.exe mvtx.exe n32call.dll n32exclu.dll naian n.dll naievent.dll navap32.dll navapscr.dll na vapsvc.exe navapw32.dll navapw32.exe navcfgwz.d ll navcomui.dll naverror.dll navevent.dll navl com.dll navlnch.dll navlogv.dll navlucbk.dll n avntutl.dll navoptrf.dll navopts.dll navprod.dl l navshext.dll navstats.dll navstub.exe navtas ks.dll navtskwz.dll navui.dll navui.nsi navuih tm.dll navw32.exe navwnt.exe netbrext.dll ntcl ient.dll oeheur.dll officeav.dll opscan.exe ou tscan.dll outscres.dll patch25d.dll patchw32.dl l persfw.exe pfui.dll pfwadmin.exe probegse.dll programs.zap ptchinst.dll qconres.dll qconsole.exe qspak32 .dll quar32.dll quarantine quaropts.dat s32int eg.dll s32navo.dll savrt.sys savrt32.dll savrt pel.sys savscan.exe scan.dat scandlvr.dll scan dres.dll scanmgr.dll scanserv.dll sched.exe sc riptui.dll scrpres.dll scrpsbin.inf scrstres.in f sdpck32i.dll sdsnd32i.dll sdsok32i.dll sdstp 32i.dll security.zap shextbin.inf shextres.inf s hlres.dll ssleay32.dll statushp.dll symnavo.dll tutorwiz.dll vsagntui.dll vsavpro.dll vsdb.dl l vsmon.exe vsoui.dll vsoupd.dll vsowow.dll v sruledb.dll vsvault.dll wormres.dll zatutor.exe zauninst.exe zav.zap zl_priv.htm zlclient.exe zlparser.dll zonealarm.exe Информация взята с http://www.avp.ru/Content-Disposition: form-data; name="smiles_on" 1
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:54:44 | Сообщение # 12 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.Skybag.a Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл, размером 205КБ. Инсталляция Во время запуска червь может выводить сообщение: Windows encountered an error reading the file После запуска червь копирует себя в системный каталог Windows с именами: bloodred.exe Windows_kernel32.exe Также в системном каталоге Windows червь создает следующие файлы: base64exe.sys base64zip.sys frun.txt В каталоге Windows червь создает файл "bloodred.zip". I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe" Распростр анение через email Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями: adb asp dbx doc htm html jsp rtf txt xm l Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @fsecure @hotmail @microsoft @mm @msn @ noreply @norman @norton @panda @sopho @symant ec @virusli Характеристики зараженных писем Адрес отправителя: Выбирается из списка: administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя> Тема письма: Выбирается из списка: Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information http://www.avp.ru/
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:56:04 | Сообщение # 13 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Вирус выдаёт себя за программу ICQFLOOD.EXE ... Место хранения ICQFLOOD.EXE c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47\A0017428 .exe A0017428.exe c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47 A0017429.EXE c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011 A78ABE1}\RP47 Расшерение .exe .EXE .sfx.exe Этот вирус распологается на данной ссылки http://hacksss2.stsland.ru/icqflood.sfx.exe ...
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:58:07 | Сообщение # 14 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Skybag.a(немного поглубже с уточнениями) Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл, размером 205КБ. Инсталляция Во время запуска червь может выводить сообщение: Windows encountered an error reading the file После запуска червь копирует себя в системный каталог Windows с именами: bloodred.exe Windows_kernel32.exe Также в системном каталоге Windows червь создает следующие файлы: base64exe.sys base64zip.sys frun.txt В каталоге Windows червь создает файл "bloodred.zip". I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe" Распростр анение через email Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями: adb asp dbx doc htm html jsp rtf txt xm l Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @fsecure @hotmail @microsoft @mm @msn @ noreply @norman @norton @panda @sopho @symant ec @virusli Характеристики зараженных писем Адрес отправителя: Выбирается из списка: administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя> Тема письма: Выбирается из списка: Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information Текст письма: Выбирается из вариантов: Our server is experiencing some latency in our email service. The attachment contains details on how your account will be affected. Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened. Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment There is urgent information in the attachment regarding your Email account Имя файла-вложения: Выбирается из списка: Account_Information Details Gift Information U pdate Word_Document Возможные расширения: cmd, pif, scr, zip. Размножение через локальную и файлообменные сети Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка: ACDSEE10.exe Adobe Photoshop Full Version.exe Battlefield 1942.exe Brianna banks and jenna jameson.mpeg ..exe Britney spears naked.jpeg .exe Cisco source code.zip ..exe DVD Xcopy xpress.exe jenna jameson screensaver.scr Kazaa Lite.zip ..exe NETSKY SOURCE CODE.zip ..exe Norton AntiVirus 2004.exe Opera Registered version.exe Snood new version.exe Teen Porn.mpeg ..exe Visual Studio.NET.zip .exe WinAmp 6.exe Windows crack.zip ..exe Windows Longhorn Beta.exe WINDOWS SOURCE CODE.zip ..exe WinRAR.exe Действие I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт. Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст: 127.0.0.1 www.norton.com 127.0.0.1 norton.com 127.0.0.1 yahoo.com 127.0.0.1 www.yahoo.com 127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 windowsupdate.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 www.google.com 127.0.0.1 google.com После 15 ноября 2004 червь пытается произвести DoS-атаку на сай www.kazaa.com. Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы. Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:58:42 | Сообщение # 15 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan.Webus.D Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме. При запуске Trojan.Webus.D выполняет следующие действия: 1.Копирует себя в %System%\lsvchost.exe. 2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе. 3.Добавляет значения : ".mscdr"="%System%\lsvchost.exe" В ключи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run 4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом. 5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов : serv.gigaset.org gimp.robobot.org Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 01:59:51 | Сообщение # 16 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Skybag.a Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe", в системный каталог Windows. Например: C:\WINDOWS\SYSTEM32\kfilaxm32.exe Затем регистрирует данный файл в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] "Rhino" = "%System%\<любой набор символов>32.exe" Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями: adbh aspd dbxn htmb phpq pl shtl tbbg tx t wab При этом червем игнорируются адреса, содержащие следующие подстроки: .edu .gov .mil abuse accoun acketst admin a nyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. f sf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpr is isc.o isi.e kernel linux listserv math m e mit.e mozilla msn. mydomai no nobody nodo mai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root r uslis samples secur sendmail service site so ft somebody someone sopho submit support sym a tanford.e the.bat unix usenet utgers.ed we bmaster you your При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Отправитель: Имя отправителя включает в себя одну из следующих строк: adam alex alice andrew anna bill bob bren da brent brian claudia dan dave david debby fred george helen jack james jane jerry jim jimm y joe john jose julie kevin leo linda mari a mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка: aol.com hotmail.com msn.com yahoo.com Тема письма: Выбирается из списка: funny photos hello hey! Текст письма: Выбирается из следующих вариантов: FREE ADULT VIDEO! SIGN UP NOW! Look at my homepage with my last webcam photos! Файл-вложение: В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла> Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла. Подпись к письму: Выбирается из списка: Checked by Dr.Web (http://www.drweb.net) Checked for viruses by Gordano's AntiVirus Software scanned for viruses by AMaViS 0.2.1 (http://amavis.org/) Удаленное администрирование Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:00:52 | Сообщение # 17 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| TrojanSpy.Win32.Montp.l Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB. При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe". Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника. Троянская программа регистрирует себя в ключе автозагрузки системного реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] "mset"="%Windir%\%System%\mset\svchost.exe" Также в системной папке Windows "троянец" создает следующие файлы: C:\WINDOWS\SYSTEM32\kwuie_x.dll C:\WINDOWS\SYST EM32\xtempx.xxx После запуска троянец выдает следующее окно: http://www.securitylab.ru/images/virus/montp_l_1_s.gif TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов: _AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE A NTI-TROJAN.EXE APVXDWIN.EXE ARMOR2NET.EXE AUTOD OWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVK SERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE A VPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AV SCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET .EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEA NER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECE NGINE.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EX E F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F -STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE I BMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE I CSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE J EDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE M OOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EX E NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE N ISUM.EXE NMAIN.EXE NORMIST.EXE NPROTECT.EXE NU PGRADE.EXE NVC95.EXE NVSVC32.EXE OUTPOST.EXE PADMIN.EXE P AVCL.EXE PAVSCHED.EXE PAVW.EXE PCFWALLICON.EXE P CWIN98.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RES CUE.EXE SAFEWEB.EXE SAVSCAN.EXE SCAN32.EXE SCA N95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC. EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE T DS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE V SCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE W EBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:01:25 | Сообщение # 18 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Backdoor.Selka Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер. При запуске Backdoor.Selka выполняет следующие действия: 1.Копирует себя в %System%\WIN32SVC.EXE. 2.Создает сервис со следующими свойствами: Service Name: win32svc Display Name: Win32 service 3.Создает следующие подключи реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\win32svc HKEY_LOCAL_MACHINE\System\CurrentCont rolSet\Enum\Root\LEGACY_WIN32SVC HKEY_LOCAL_MACHI NE\Software\Netmaniac\aSeLka\iNfecTeD 4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд. 5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru. Email имеет следующие характеристики: From: sweetamy@bk.ru To: sweetamy@bk.ru Subject: -= iNfEcTeD hOsT [infected computer name] [infected user name] =- Message text: (various system information)
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:02:42 | Сообщение # 19 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| FAQ по LaveSan. 1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - это одно и тоже или разные черви? Все эти имена относятся к одной вредоносной программе, но используются разными антивирусными компаниями. В терминологии "Лаборатории Касперского" этот червь называется "Lovesan". На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c". 2. Как понять, заражен ли мой компьютер? Признаками заражения компьютера являются: • Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\) • Внезапная перезагрузка компьютера после соединения с интернетом каждые несколько минут • Многочисленные сбои в работе программ Word, Excel и Outlook • Сообщения об ошибках, вызванных файлом "SVCHOST.EXE" • Появление на экране окна с сообщением об ошибке (RPC Service Failing) 3. Чем опасен этот червь для моего компьютера? "Lovesan" не несет существенной опасности непосредственно для зараженного компьютера. Червь не удаляет, не изменяет и не похищает данные. Его угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода. Кроме того, начиная с 16 августа "Lovesan" атакует web-сайт windowsupdate.com, на котором содержатся обновления для операционной системы Windows. В результате этого web-сайт может выйти из строя, и пользователи окажутся отрезанными от этой важной информации. В этой связи "Лаборатория Касперского" рекомендует как можно быстрее установить обновление, не дожидаясь возможных перебоев в работе web-сайта. 4. Какие системы заражает "Lovesan"? Червь заражает компьютеры под управлением Windows NT, Windows 2000, Windows XP. Полный список уязвимых операционных систем приведен ниже: • Windows NT 4.0 Server • Windows NT 4.0 Terminal Server Edition • Windows 2000 • Windows XP 32 bit Edition • Windows XP 64 bit Edition • Windows Server 2003 32 bit Edition • Windows Server 2003 64 bit Edition 5. Как защитить мой компьютер? Существует несколько способов защиты от "Lovesan". Во-первых, необходимо загрузить последние обновления антивируса и ни в коем случае не отключать антивирусный монитор во время работы с интернетом. Во-вторых, используйте межсетевой экран (firewall) для блокировки портов 135, 69 и 4444. Наконец, установите обновление для Windows, закрывающее брешь, через которую "Lovesan" проникает на компьютеры. Последний способ является наиболее эффективным, поскольку предотвращает заражение не только "Lovesan", но также всеми его разновидностями и другими подобными червями, использующими описанную брешь Windows. 6. Что такое межсетевой экран и где его взять? Межсетевой экран (англ. Firewall) - это специальная программа, которая защищает от хакерских атак, контролируя потоки данных между интернетом и компьютером. Она допускает только безопасные соединения с сетью, фильтрует вредоносные пакеты данных и предотвращает доступ в интернет неавторизованных приложений. Существуют два типа межсетевых экранов: для защиты сетей и рабочих станций. Для защиты домашних компьютеров мы рекомендуем воспользоваться Kaspersky® Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732). 7. Как устанавливать обновление для Windows? Вам необходимо загрузить обновление с сайта Microsoft по адресам: • Windows NT 4.0 Server (русский, английский, немецкий, французский, испанский) • Windows NT 4.0 Terminal Server Edition (английский, немецкий, французский, испанский) • Windows 2000 (русский, английский, немецкий, французский, испанский) • Windows XP 32 bit Edition (русский, английский, немецкий, французский, испанский) • Windows XP 64 bit Edition (английский, немецкий, французский) • Windows Server 2003 32 bit Edition (русский, английский, немецкий, французский, испанский) • Windows Server 2003 64 bit Edition (английский, немецкий, французский) После окончания загрузки запустите файл и установка пройдет в автоматическом режиме. Следуйте инструкциям, которые будет предоставлять мастер установки. 8. Не могу загрузить обновление с сайта Microsoft - компьютер постоянно перегружается. Внезапная перезагрузка компьютера - одно из проявлений "Lovesan". Для обеспечения передачи обновления с сайте Microsoft мы рекомендуем найти файл TFTP.EXE (в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название. 9. Что мне делать, если вирус уже заразил мой компьютер? Для этого достаточно использовать установленный на вашем компьютере антивирус. Перед этим убедитесь, что антивирус содержит последние обновления базы данных. Также вы можете воспользоваться бесплатной утилитой для защиты от "Lovesan", предлагаемой "Лабораторией Касперского". Данная программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, восстанавливает системный реестр Windows. После завершения работы утилиты перезагрузите компьютер и запустите антивирусный сканер с последними обновлениями базы данных. Утилита является абсолютно бесплатной и доступна для загрузки по адресам: • Версия в ZIP-архиве: ftp://ftp.kaspersky.com/utils/clrav.zip • Неархивированная версия: ftp://ftp.kaspersky.com/utils/clrav.com • Документация для утилиты: ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt 10. Воспользовался утилитой против "Lovesan", но мой компьютер снова заразился. Утилита только удаляет червя и восстанавливает зараженный компьютер, но не создает иммунитет против "Lovesan". Для этого вам необходимо установить описанное выше обновление для Windows.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:12:52 | Сообщение # 20 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| I-Worm.Zafi.c Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальные и файлообменные сети. Написан на языке Assembler. Упакован FSG. Размер файла - 15993 байта. Инсталляция После запуска копирует свой файл в системный каталог Windows с именами "svchost.com" и "svchost.con". А также в корень диска C: с именем "tm.txt". Создает в системном каталоге Windows файлы с менами "svchost.co0", "svchost.co1", "svchost.co2", ..., "svchost.co9", в которых хранит найденные email-адреса для рассылки зараженных писем. Червь регистрирует себя в ключе автозагрузки системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "_svchost.con"="%Windows%\%System%\svchost.com" С оздает в реестре ключ, в котором хранит данные, необходимые для своей работы: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\UpdateZ3] Для обхода Firewall изменяет следующие ключи реестра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile] isableNotifications=1 EnableFirewall=0 oNotAllowExceptions=0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify=1 Также, червь создает уникальный идентификатор "UpdateZ3" для определения своего присутствия в системе. Запрещает запуск процессов с именами, содержащими следующие строки: msconfig reged task Файлы антивирусных программ перезаписывает своим файлом. Размножение через email Червь ищет email адреса в файлах содержащих следующие строки: adb asp attachment dbx document eml htm l etter mail mbx message php pmr sht tbb title txt wab word Игнорируется отправка писем на адреса, содержащие строки: aol cafee google help hoo.com hotmail.co i nfo kasper micro msn panda sopho suppor syma trend vir webm Содержание зараженного письма выбирается в соответствии с именем домена email адреса жертвы. Письмо формируется случайным образом при помощи "конструктора" и может иметь следующие варианты: Варианты заголовка письма: Все приводимые ниже варианты могут иметь префикс "Re:". ajanlat! allast kinal! As myliu tave!! As pakvaises del tavo emailu! Call me! call us back! Can you! Chci Ti rict, ze jsi ma laska, miluji Te cim dal vic! CNM, Technology Company! David Morgen, Office Manager! Desde el primer momento! Doar ca sa te iubesc! Een kus voor jou! En kyss! Expectant CoWorker! free mp3 list! full time job for you! Fur dich! give a little hope! Hey buddy! I thought maybe we can...! I`m off! ich gerade an dich dachte! Ich liebe dich! Ik ben echt niet vergeten!! Ik hou van jou! Ik hou zooooo veel van je! Jag alskar dig!! Je t`aime! Jeg elsker deg!! Jeg elsker dig! job details! kerem olvassa el! Kocham Cic! Kusschen! L'amour! Media Services Kft! Merci! Miluji te! Mina Rakastan Sinua! Miss you baby!! Mit bjerte er dit til evig tid! Network monitoring! Odnalezc chce Cie w tlumie! offer! Ogni grande amore comincia con un fiore!! okay! please hurry! Please read the full story! please read! Please, send forward this letter! Please,thanks!! Quando sto con te, il mio cuore!!! Rakastan sinua vahemman tanaan kuin huomenna! rendszerfigyelo pozicio betoltese! send forward! send me one more! Si stii de ce ?! Te amo! Te iubesc! Thank you! Ti amo!! Tisztelt Leendo Munkatars! tu ma faci sa iubesc! very sick little girl! waiting for you! Whats you doing tomorrow?! Your lover! Zo verlang ik naar jou! Варианты текста письма: Min kjoerlighet til deg vokser mot himmelske hoyder! Roser er sode fioler er bla, Druer er sote og du er like sa. Jeg elsker deg! Ich wunsche dir einen schonen feierabend! Ich liebe dich! Ich hab dich so lieb! Fur dich, weil ich gerade an dich dachte! Kusschen! Tisztelt Leendх Munkatбrs! Цnnek бllast kinбl a CNM, Mйdia Services Kft, informatikai rendszerfigyelх poziciу betцltйsйre. Cйgьnk Magyarorszбg egyik jelentхs informatikai vбllalata, melyhez informatikбban jбrtas embereket keresьnk. Alapkцvetelmйnyek: Windows XP, 2000, valamint 98 hбlуzati ismeretek, valamint alapfoku angol tudбs. Amenyiben elfogadja ajбnlatunkat, kйrem olvassa el a rйszleteket йs jelezzen vissza a mielхbbi egyьttmьkцdйs cйljбйrt. Tisztelettel: Takбcs Lбszlу, irodavezetх. Email: <почтовый адрес отправителя> La vie n'est qu 'un passage... L'amour qu 'un mirage... Mais I'amitie est un fil d'oc Qui ne se brise jamais. Merci d'etre la Je t`aime Tu es la pour moi. Je te sens pres de moi. Notre amitie m'est precieuse. Je t'aime beaucoup! Dicono sia la primavera, invece sei tu che mi fai girar la testa. Ogni grande amore comincia con un fiore! Quando sto con te, il mio cuore!! Desde el primer momento en que te vi y hace tiempo te buscaba y ya te imaginaba asi Te amo ... Aunque no es tan facil de decir y defino lo que siento con estas palabras: Te amo ... En kyss ar ingen fara, En kyss ar inget brott Tva lappar mots ju bara men herre gud sa gott. Jag alskar alskar alskar dig fran det kan ingen hindra mig och vad som an hander i morgon och idag sa kan ingen alska dig mer an jag och vad som an hander med varlden och med mig sa kommer jag aldrig nagonsin att glomma dig... Oppe pa himlen langt vaek i det fjerne sidder den smukkeste lille stjerne Den er sendt fra mit hjerte ned til dig og hvisker stille godnat fra mig. Mit bjerte er dit til evig tid. Etsin sita oikeaa miljoonien joukosta, eika minulla ole muita vaatimuksia, kuin etta se olisit sina. Rakastan sinua vahemman tanaan kuin huomenna, mutta enemman kuin eilen. Mano meile tau auga su lig kiekviena diena. Tu esi mano virtualaus bucinio savininkas. As pakvaises del tavo emailu... As myliu tave! Odnalezc chce Cie w tlumie, ujrzec wsrod tysigca twe cudne oczy koloru morskiej wody a potem porwac na swoj statek zwany mitoscia by po chwili jak lisc na wietrze wolno opadac we dwoje na spokojne wody naszej przyszlosci. Kocham Cic! Niech bcdzie wyrazem mej czystej mitosci, wiatru kotysaniem i cichym wyznaniem... Kocham Cic! Tu ma faci sa rad, tu ma faci sa plang, tu ma faci sa simt ca traiesc, tu ma faci sa iubesc! Iubirea ta e singurul gand pentru care exist. Nu uita ca pentru tine traiesc. Si stii de ce ? Doar ca sa te iubesc. Jen Tobe patri srdce me a vse, co vubec mam, vzdylaska je to nejcennejsi, co zivot dava nam. Chci Ti rict, ze jsi ma laska, miluji Te cim dal vic. Ty jsi to, co jsem vzdy chtela. Chci jen Tebe a nic vic. Jouw kus is als een omhelzing. Ik denk zo vaak aan je... Zo verlang ik naar jou! Heb ik je wel eens gezegd dat ik van je hou! Ik hou zooooo veel van je !!! Ik ben echt niet vergeten! Ik hou van jou !!! Een kus voor jou! Dear Expectant CoWorker! We are offering a full time job for you. Our company (CNM, Technology Company, <страна> is the third fastest growing technology company in <страна>. Job Type: System and Network monitoring. Requirements: Windows XP, 2000, 98 minimal expertise, and networking skills. If you accept our offer, please read the job details document for the full description, and call us back. Thank you, David Morgen, Office Manager (CNM, Tech. <страна> Email: <почтовый адрес отправителя> Please, send forward this letter, and you can give a little hope to a very sick little girl, who is dying in the hospital, in <страна>. Please read the full story, and send forward!! Hey buddy! Can you send me one more of your free mp3 list? Please,thanks! Your lover is waiting for you tomorrow, so please hurry,hurry because.. Miss you baby! Whats you doing tomorrow? I`m off, so... I thought maybe we can... Call me okay, before it`s too late... Примечание: <адрес отправителя> - адрес с которого пришло письмо. <страна> - выбирается в соответствии с доменом получателя из следующего списка: 2004 Australia Canada China England Japan K orea Russia Имя вложения: Выбирается из списка: Eminem free MP3 websites 2004 listed okt16 Rap CD list Расширение файла может быть "exe" или "scr". Размножение через локальную и файлообменные сети Червь копирует свой файл во все папки в имени которых встречаются строки: downlo share upload При копировании использует имя "doom3 keygen.exe". Действие Червь осуществляет DoS-атаки на следующие сервера: google.com microsoft.com www.miniszterelnok.hu
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:13:21 | Сообщение # 21 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Win32.Killis.a Примитивный зашифрованный нерезидентный Win32-вирус. Ищет и заражает приложения Win32 (PE EXE-файлы) по маскам "*.?XE" и "*.SC?". Поиск вирус осуществляет в текущем каталоге, каталоге Windows и системном каталоге Windows. Вирус дописывает 1774 байта своего шифрованного вирусного кода в конец заражаемого файла. Повторно файлы не заражает. Заражает только исполняемые файлы, которые предназначены для i386-процессора. Не заражает динамические библиотеки. Вирус никак не проявляет своего присутствия в системе. Дроппер вируса содержит строки: -xX[ Kallist - cH4R_ presents ]Xx- =wW( https://vx.helith.net/~charvx )Ww= Pirateright (P) 2004-2005, cH4R_ , NO rightz reserved. Kallist - From the Greek mitology to your computer. Также дроппер имеет секцию с именем "Kallisti". Признаком заражения может являться строка: Kallisti, by cH4R_ Строка эта вирусом не шифруется и присутствует в открытом виде в конце инфицированных им файлов.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:13:45 | Сообщение # 22 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan.Disabler Trojan.Disabler - это троян, который закрывает открытые приложения, что может привести к потере несохраненных данных. При запуске троян выполняет следующие действия: 1. Закрывает любые приложения Windows, на которых находится указатель мыши, включая Windows taskbar и Task Manager. 2.Заставляет пользователя перезагрузить Windows, чтобы запустить снова закрытые приложения. Любая несохраненная информация будет потеряна.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:19:25 | Сообщение # 23 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Worm.P2P.Scranor.a Интернет-червь, распространяющийся через "peer-to-peer" сети Kazaa и iMesh, а также через IRC. Червь является приложением Windows (PE EXE), имеет размер около 12КБ. Инсталляция После запуска червь создает каталог "Sys32i" в каталоге Program Files и копирует туда себя с именем "Scran.exe". Червь регистрирует данный файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run ] "W32.Scran"="%ProgramDir%\sys32i\Scran.exe" В этом же каталоге червь создает еще несколько своих копий со следующими именами: Age of Empires crack.exe Age of Empires.exe CD Key.exe Counter Strike 6.exe Counter Strike.exe Grand Theft Auto 3 CD2 ISO.exe Half-Life.exe Hotmail account cracker.exe Hotmail Hack.exe KeyGen.exe Microsoft Office.exe Norton Anti Virus 2004.exe Norton Anti Virus 2005.exe Norton Anti Virus Crack.exe Norton Firewall.exe Norton Internet Security 2004.exe Partition Magic 8.exe Playstation 2.exe Resident Evil.exe Scran.cpl Tomb Raider.exe Trojan Remover.exe Windows XP Home.exe Yahoo Hack.exe ZoneAlarm Firewall Pro.exe Данный каталог указывается в системном реестре Windows как Local Content систем файлообмена Kazaa и iMesh: [HKCU\Software\Kazaa\LocalContent] [HKCU\Software\Kazaa\Transfer] "dir0"="012345:%ProgramDir%\sys32i\" [HKCU\Software\iMesh\Client\LocalContent] "dir0"="012345:%ProgramDir%\sys32i\" В результате чего данные файлы становятся доступны для загрузки другими пользователями P2P сетей. Червь создает уникальный идентификатор для определения своего присутствия в системе, с именем "W32.Scran-Worm". Размножение через IRC Червь ищет на компьютере установленный IRC клиент и если такой обнаружен, изменяет содержимое файла script.ini таким образом чтобы пытаться передать свою копию всем пользователям IRC-каналов, на которые заходит владелец зараженного компьютера. Прочее Червь загружает с сайта http://www.freewebs.com файл "botnet.jpg" и сохраняет его в корневой каталог диска C: с именем "botnet.exe". Данный файл является очередной модификацией Backdoor.Win32.RBot.gen. 1 января червь выводит на экран message box с текстом: Ha? Happy New Year W32.Scran!!
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:19:50 | Сообщение # 24 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Backdoor.Haxdoor.C Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли. При запуске Backdoor.Haxdoor.C выполняет следующие действия: 1. создает следующие файлы: # %System%\vdt_16.exe # %System%\i.a3d # %System%\draw32.dll # %System%\vm.dll # %System%\vdnt32.sys # %System%\hm.sys # %System%\memlow.sys # %System%\wd.sys # %System%\p2.ini # %Windir%\dt163.dt 2. Запускает %System%\vdt_16.exe как процесс. 3. Прописывается в следующих ключах реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv ices\vdnt32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\ENUM\ROOT\LEGACY_VDNT32 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\memlow HKEY_LO CAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEG ACY_MEMLOW 4. Добавляет следующее значение: "isable TrayIcon" = 1 в следующий ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Param eters\ 5.Добавляет следующее значение: "Impersonate" = "[1236477522472955044]" "StackSize" = "21:10" в ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\ 6. Изменяет следующее значение: "EnforceWriteProtect" = "0" в ключе реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management 7..Добавляет следующее значение: "hws" = "0x428" в ключ реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ 8. Изменяет следующие записи в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\MPRServices\TestServ ice HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32 9. Пытается стерерть следующие записи в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVer sion\Run\"secboot" HKEY_LOCAL_MACHINE\System\Curr entControlSet\Services\ SharedAccess\"start" , которые использовались старой версией данного бэкдора. 10. Открывает 16661, 55168 и 18916 TCP порты для удаленных команд. При подключении троян отвечает следующим сообщением "A-311 Death welcome 1.38". 11. Пытается создать копию SAM файла в файле с именем SLL. 12. Пытается послать по email украденную информацию.
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
Battle | Дата: Четверг, 2006.02.16, 02:20:16 | Сообщение # 25 |
Та все норм.
Группа: Администраторы
Сообщений: 864
Статус: Offline
| Trojan.Sens Trojan.Sens - это троянская программа, которая инсталлирует себя как сервис и мониторит сетевую активность на зараженном компьютере. Троян также посылает удаленному атакующему украденную информацию с зараженнного компьютера . Trojan.Sens содержит следующие компоненты: install.bat Launcher.exe testdll.dll Winhost.dll При запуске Trojan.Sens выполняет следующие действия: 1. Инсталлирует себя на зараженный компьютер, используя файл install.bat 2. Создает свои копии в файлах : # %windir%\system32\iat.dll # %windir%\system32\senss.exe 3. Добавляет значения: "program" = "senss.exe" "Interactive" = "0" в следующие ключи реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv ices\SENS\Parameters 4. Изменяет значения: "ServiceDll"="%System%\sens.dll" на "ServiceDll"="[path]\winhost.dll" в следующем ключе реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serv ices\SENS\Parameters 5. Загружает "iat.dll", чтобы внедрить код в процесс "winlogon.exe".
Настали суровые времена. Связь: LEONeso@gmail.com
|
|
| |
|