Тем: 4,509, Сообщений: 353,334, Пользователи: 158,499
На форуме: 17

Вернуться   Форум VolSat > Электронный мир > Программы / Software

Важная информация


Ответ
 
Опции темы Опции просмотра Language
Старый 14.12.2009, 20:26   #1
Cotea
За справедливость!
 
Аватар для Cotea
 
Регистрация: 31.05.2009
Ресивер: Orton HD X403p
Адрес: Молдова, Окница.
Сообщений: 4,399
Сказал(а) спасибо: 4,731
Поблагодарили 4,277 раз(а) в 2,053 сообщениях
Вес репутации: 35
Cotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордитсяCotea за этого человека можно гордится
По умолчанию Кибербезопасность-обсуждение

Специалисты компании ScanSafe отмечают появление нового вируса-трояна, заразившего уже более 100 тысяч веб-ресурсов

Вирус распространяется с высокой скоростью. Всего за несколько дней количество зараженных сайтов увеличилось на 15 тысяч, в данный момент оно превышает 130 тыс. по версии Google и почти 300 тыс. по версии Yahoo. Этот вирус больше всего поразил сайты китайской доменной зоны cn и зоны com.

Для заражения таких сайтов был использован метод под названием SQL-инъекция, которая распространяется через скрытый фрейм.

Этот вирус является также особенно опасным еще и потому, что многие антивирусы пока еще его не определяют.


Источник - news.tochk
__________________
Cotea вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 13.04.2010, 18:24   #2
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Троян вымогает деньги у любителей торрентов


Как известно, в западных странах борцы с пиратством рассылают пользователям BitTorrent уведомления с просьбой заплатить некоторую сумму, зависящую от количества скачанных пиратских файлов. Недавно был обнаружен первый троян, который действует по такой же схеме.

Пока неизвестно, каким способом троян проникает в систему, но после запуска он сканирует компьютер на предмет .torrent-файлов и по результатам сканирования выдает на экран "предупреждение о нарушении копирайта".




Пользователя направляют на сайт организации ICCP Foundation, где его предупреждают о возможном штрафе до $250.000 и до пяти лет тюремного заключения и предлагают заплатить за услуги, которые помогут избежать судебного преследования. Счёт составляет чуть меньше $400


Источник - SecurityLab
__________________
Tuflya07 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 13.04.2010, 19:58   #3
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Virus.Win32. Sality.ag

13 апреля, 2010


Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.
Инсталляция

При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
%System%\drivers\<rnd>.sys
где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.

Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".
Распространение

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
EXE
SCR
Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%\__Rar\<the path to the virus’s original file>.exe
Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:
.exe
.pif.
.cmd
А также создает в корневом каталоге этих дисков скрытый файл:
:\autorun.inf
в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.
Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".

Пытается выполнить загрузку файлов, расположенных по ссылкам:
http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fu...ages/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/
Загруженные файлы сохраняются в папке %Temp% и запускаются.

На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:
Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.

Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:
Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001



[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
Advanced]
"Hidden"=dword:00000002
Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"GlobalUserOffline"=dword:00000000
Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\system]
"EnableLUA"=dword:00000000
Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<путь_к_оригинальному_файлу_вируса>"
= "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ips ec"
Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
HKCU\Software\<rnd>
Где <rnd> - произвольное значение.
Затем находит файл с именем:
%WinDir%\system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=509102504668 (номер может быть произвольным)
Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%\
Выполняет поиск и удаление файлов со следующими расширениями:
"VDB", "KEY", "AVC", "drw"
При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
Останавливает и удаляет службы со следующими именами:
Agnitum Client Security Service
ALG Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4
Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.
__________________
Tuflya07 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 13.04.2010, 20:00   #4
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Proxy.Win32. Koobface.a

13 апреля, 2010


Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера без ведома пользователя.
Инсталляция

При запуске программа извлекает из себя и устанавливает в системе новый исполняемый файл, копируя его в системный каталог Windows:
%System%\dll32.dll
Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dll"="rundll32 dll32,sm"
Для того чтобы файл dll32.dll выполнял в системе функционал прокси-сервера, программа создает следующие ключи реестра:
[HKСU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings]
"ProxyEnable"=1
"ProxyOverride"="*.local;"
"ProxyServer"="http=localhost:7171"
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy StandardProfile\GloballyOpenPorts\List]
"7171:TCP"="7171:TCP:*:Enabled:dll32"
"80:TCP"="80:TCP:*:Enabled:dll32"

Деструктивная активность

Установленная программа перехватывает все DNS запросы, содержащие одну из следующих строк:
“.ask.”
“search.aol.”
“search.live.”
“search.msn.”
“search.yahoo.”
“google.”
“.sa.aol.com”
“.aolcdn.com”
“.autodatadirect.com”
“thumbnail.aspx”
“yahooapis.com”
“metacafe.com”
“.yimg.com”
“img.youtube.com”
Данные DNS запросы вредоносная программа отправляет на сервер rz-dns.com, в данный момент сервер недоступен, ранее он мог контролироваться злоумышленником.
__________________
Tuflya07 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 13.04.2010, 20:03   #5
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Proxy.Win32. Dlena.lh

13 апреля, 2010


Троянская программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 35840 байт. Написана на C.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "rpcc.exe "
%system%\rpcc.exe.
И записывает себя в автозагрузку при помощи ключа реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
"WindowsHive" -> "%windir%\system32\rpcc.exe"
A также создает запись в следующей ветке реестра для хранения своей информации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\WinOpts

Деструктивная активность

Данная вредоносная программа, предназначенна для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву. Троянец создает следующие ключи реестра для создания proxy сервера:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardwa re
Profiles\Current\Software\Microsoft\windows\Curren tVersion\
Internet Settings ProxyEnable -> "1"
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\
CurrentVersion\Internet Settings
ProxyEnable -> "1"
При запуске троянец создает два потока внутри процесса winlogon.exe или svchost.exe, которые и выполняют всю деструктивную деятельность.

Программа соединяется со следующими адресами:
69.41.182.75
72.36.224.114
69.41.170.246
И получает от них команды злоумышленника, который может производить с компьютером следующие действия:
Скачивать и запускать файлы на зараженном компьютере.
Производить поиск email-адресов на компьютере, а также проводить рассылки спама по этим адресам.
Для рассылки спама могут быть использованы также следующие сервера:
mindspring.com
yahoo.com
microsoft.com
__________________
Tuflya07 вне форума   Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Старый 17.04.2010, 19:17   #6
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Японский вирус шантажирует любителей порнографии

Тысячи японцев, нелегально загрузивших через файлообменники эротические программы, получили на свои компьютеры предупреждение от неизвестных - заплатить или быть ославленными в интернете.

Как сообщают эксперты из компании Trend Micro, вирус Kenzero распространяется через популярный файлообменный ресурс под названием Winni. На этом сайте зарегистрировано свыше 200 миллионов пользователей. В список жертв вредоносного ПО попадают те клиенты, которые загружают с файлообменника пиратские копии игр в жанре "хентай". Сообщается, что к настоящему моменту вирусом Kenzero оказались инфицированы более 5’500 компьютеров.

Маскируясь под установочный экран компьютерной игры, вредоносное приложение просит владельца ПК ввести некоторую персональную информацию. После этого Kenzero внимательно изучает истории посещений, изготавливает скриншот и публикует его на сайте с указанием имени пользователя. Для того чтобы избежать обвинений в нарушении копирайт-законодательства и удалить компрометирующую информацию с сайта, пользователь должен выплатить "штраф" в размере 1’500 иен (примерно 10 фунтов стерлингов).

Сайт, на котором появляются данные жертв, принадлежит несуществующей компании под названием Romancing Inc., владельцем которой числится вымышленное лицо по имени Шон Овернс.

"Нам уже встречалось это имя в связи с вирусами Zeus и Koobface, поэтому мы полагаем, что тут действует одна и та же шайка", - говорит старший эксперт Trend Micro Рик Фергюсон.

Kenzero относится к достаточно распространенной категории вредоносных приложений, известной как "ransomware". После проникновения в клиентскую систему эти программы шифруют хранимые на жестком диске документы, изображения и медиа-файлы и предлагают владельцу приобрести ключ, необходимый для расшифровки контента.

Подобные приложение хорошо известны ПК-владельцам, проживающим на территории Европы. Некоторое время назад несуществующая организация ICPP, чьи сотрудники выдавали себя за защитников "копирайта", распространяли вирус, сканирующий жесткий диск клиентского компьютера в поисках нелегального контента. По завершению проверки, независимо от реальных результатов поиска, программа уведомляла пользователя об обнаруженных нарушениях закона и предлагала уладить конфликтную ситуацию без передачи дела в суд. Во избежание серьезных последствий, таких как огромные штрафы, оплата судебных издержек и возможный приговор к тюремному заключению, нарушителю предлагалось заплатить всего 400 долларов. Впрочем, реальным источником дохода для злоумышленников являлась продажа собранной информации о кредитных картах.

"Если вы получаете подобные послания, не обращайте на них внимания и воспользуйтесь одной из доступных в интернете бесплатных антивирусных программ, - говорит Фергюсон. - Ну и, конечно, не занимайтесь
пиратством."
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 17.04.2010, 19:20   #7
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Banker. Win32.IntPro.a

Вредоносная программа, предназначенная для кражи конфиденциальной пользовательской информации программы Inter-PRO Client. Является приложением Windows (PE-EXE файл).
Инсталляция

При запуске программа извлекает из себя и копирует в системный каталог Windows следующие файлы:
%System%\sfcfiles.dll
%System%\drivers\sfc.sys
Программа создает следующие ключи реестра, в которых в зашифрованном виде хранятся настройки программы:
HKLM\SOFTWARE\Settings\CoreSettings
HKLM\SOFTWARE\Settings\CryptoHash
HKLM\SOFTWARE\Settings\DigitalProductId
HKLM\SOFTWARE\Settings\DriveSettings
HKLM\SOFTWARE\Settings\ErrorControl
HKLM\SOFTWARE\Settings\kernel32
Распространение

Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.

Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.

Деструктивная активность

При успешном запуске, программа скачивает обновления по адресу:
http://local-port-connect.com/ortew/page.php
Находясь в адресном пространстве процесса “intpro.exe”, программа перехватывает конфиденциальные данные пользователя, используемые в программном комплексе Inter-PRO Client, и отсылает их на следующий электронный адрес злоумышленника, указанный в теле вредоносной программы:
http://local-port-connect.com/ori/page.php

Также программа содержит в себе драйвер sfc.sys, в задачу которого входит скрытие файлов и ключей реестра вредоносной программы.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 17.04.2010, 19:22   #8
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

P2P-Worm.Win32. Palevo.ipn

Вредоносная программа, осушествляюшая деструктивную деятельность на компьютере. Является исполняемым файлом Windows. Имеет размер 107520 байт. Написан на C++.
Инсталяция

Вредоносная программа копирует свое тело в следующий каталог:
C:\RECYCLER\S-1-5-21-%rnd%\sysdate.exe
(rnd - случайное число), имя также может быть hd1.exe. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\
"Taskman" -> "C:\RECYCLER\S-1-5-21-%rnd%\sysdate.exe "
Распространение
Зловред копирует себя на съемные носители под произвольными именами, и создает на них файл autorun.inf с помощью которго запускается зловред.
Размножается используя известные P2P сети такие как BearShare, eMule, Kazaa, DC++, LimeWire и другие.
Размножается используя MSN Messenger.
Заражает компьютеры на которых установленны уязвимые версии VNC Server.

Деструктивная активность

Данный зловред собирает информацию об аккаунтах и паролях которые пользователь вводит на web страницах при использовании таких браузеров как Internet Explorer, Mozilla, Chrome и Opera.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 17.04.2010, 19:24   #9
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Net-Worm.Win32. Agent.bk

Сетевой червь, предназначенная для предоставления злоумышленнику удаленного доступа к зараженным компьютерам. Является приложением Windows (PE-EXE файл). Имеет размер 62 кБайта.
Инсталляция

При запуске,червь копирует себя в системную директорию:
%windir%\system\winsrc.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“Windows System Monitor” = %windir%\system\winsrc.exe
Также червь устанавливает в системе руткит, копируя его в следующую папку:
%windir%\system32\drivers\sysdrv.sys
И устанавливает его как сервис, создавая следующую папку системного реестра.
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32
Распространение

Для распостранения по сети программа использует уязвимость MS06-040. Также программа пытается подобрать пароли администратора для соседних компьютеров.

Для распостаранения программа также копирует себя на съемные диски, создавая на них файлы autorun.inf.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 17.04.2010, 19:26   #10
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Email-Worm.Win32. Agent.bx

Вредоносная программа, предназначена для рассылки спама и проведения DOS атак.

При запуске создает на диске следующие файлы:
%windir%\service.exe
%windir%\system32\svshost.dll
%windir%\system32\wininet.exe
%windir%\system32\winint.exe
А также добавляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{D7FFD784-5276-42D1-887B-00267870A4C7}
”InProcServer32” - "C:\WINDOWS\system32\svshost.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ “ShellServiceObjectDelayLoad” -
"{D7FFD784-5276-42D1-887B-00267870A4C7}"

Деструктивная активность

Вредоносная программа соединяется со следующими адресами:
http://nikemk.com/?ddos=<random>
<random> - специально сгенерированная последовательность например:
“x7x29x39x17x16”
Далее вредоносная программа открывает на компьютере 9649-ий TCP порт и позволяет злоумышленнику подключиться к компьютеру. Адреса, с которых злоумышленник может подключиться к зараженному компьютеру программа получает по вышеуказанной ссылке.

Злоумышленник может использовать группу таких зараженных компьютеров для проведения DOS атаки.

Также зараженный компьютер может использоваться злоумышленником для рассылки спама.

Программа устанавливает соединение с адресом 67.227.137.176:443 (при этом используется SSL шифрование). В ходе данного соединения программа отправляет злоумышленнику все найденные на компьютере адреса электронной почты, а также получает адреса и письма которые ей надо отослать.

Для рассылки спама используются следующие smtp сервера:
gmail-smtp-in.l.google.com
gsmtp183.google.com
mail-fx0-f25.google.com
mail7.digitalwaves.co.nz
in1.smtp.messagingengine.com
__________________
Tuflya07 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
Старый 19.04.2010, 19:03   #11
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Компьютерный вирус не дал 2 тысячам россиян покинуть Китай


Более 2 тысяч российских туристов не смогли в воскресенье по Амуру вернуться из Китая в Благовещенск, поскольку на таможне соседнего города Хэйхэ компьютерный вирус парализовал электронную пропускную систему. Об этом РИА «Новости» сообщил представитель компании, занимающейся пограничными речными перевозками.

Благовещенск и Хэйхэ разделяют всего 600 метров реки Амур. Ежедневно через пограничный контрольный пункт «Благовещенск» в Китай в среднем проходит более 300 человек, в выходные и праздничные дни — более тысячи. Из-за вируса в воскресенье пункт пропуска был закрыт до утра понедельника.

По данным агентства, компьютерный вирус за ночь удален, системы вновь исправны.


Источник - BFM
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:45   #12
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Proxy.Win32. Agent.ccw

20 апреля, 2010


Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
Инсталляция

При запуске программа копирует свой исполняемый файл в следующий каталог:
C:\RECYCLER\S-1-5-21-0243336031-4052116379-
881863308-0851\vse432.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"12CFG914-K641-26SF-N32P" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
Деструктивная активность

Вредоносная программа внедряет свой код в адресное пространство процесса explorer.exe, внутри которого соединяется с электронным адресом
jiri.alwaysproxy4.info:1199
При успешном подключении программа принимает от злоумышленника сетевой адрес, с которым впоследствии соединяется. Далее программа начинает работать в роли прокси-сервера, т.е. пересылает все сетевые пакеты, полученные от злоумышленника на этот сетевой адрес, а также в обратном направлении.

Таким образом, злоумышленник может создавать сетевые соединения с удаленными серверами через зараженный компьютер.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:47   #13
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-PSW.Win32. LdPinch.dis

20 апреля, 2010


Троянская программа, предназначенная для кражи конфиденциальной информации. Похищает логины и пароли для различных сервисов и программ. Является приложением Windows (PE EXE-файл).

Деструктивная активность

Собирает сведения о системе (версия ОС, имена компьютера и пользователя, конфигурация аппаратного обеспечения) и пароли для различных сервисов и прикладных программ, в том числе:
Пароли, сохраненные в Internet Explorer, Mozilla, Opera.
Адреса и пароли электронной почты, сохраненные в программах Outlook, Thunderbird, Mail.ru Agent, The Bat!
Аккаунты и пароли FTP ресурсов. Анализирует программы CuteFTP, WS_FTP, Filezilla, FTP Commander, Far.для Windows Commander, Total Commander, USDownloader.
Пароли доступа RAS.
Пароли для ICQ, Qip, Pidgin.
Пароли, сохраненные программах Eudora, Windows Commander, Total Commander, Trillian, Punto Switcher

Собранная информация отправляется на сайт злоумышленника

Также вредоносная программа борется с антивирусными продуктами
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:50   #14
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Spy.Win32. Bugnraw.a

20 апреля, 2010


Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву других вредоносных программ, а также для кражи конфиденциальных данных пользователя.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\<rnd>.exe
А также извлекает из себя и создает следующие файлы:
%WinDir%\system32\<rnd>.src
%WinDir%\system32\<rnd>.bmp
<rnd> – произвольная последовательность из символов латинского алфавита.

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%WinDir%\system32\<rnd>.exe "
Также программа создает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier]
InstallationID"="c897a1ec-c72f-449a-9e19-646046128ace"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sr\Parameters]
"FirstRun" = 1

[HKCU\Control Panel\Colors]
"Background"="0 0 255"

[HKCU\Control Panel\Desktop]
"ConvertedWallpaper" = "WinDir%\system32\<rnd>.bmp"
"OriginalWallpaper" = "%WinDir%\system32\<rnd>.bmp"
"SCRNSAVE.EXE" = "%WinDir%\system32\<rnd>.src"
"Wallpaper" = "%WinDir%\system32\<rnd>.bmp"
"WallpaperStyle" = "0"

[HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
"GeneralFlags" = 4

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
"NoDispBackgroundPage" = 1
"NoDispScrSavPage" = 1

[HKCU\Software\Sysinternals\Bluescreen Screen Saver]
"EulaAccepted" = 1

Деструктивная активность

Вредоносная программа проверяет наличие соединения с интернетом, обрашаясь к электронному адресу windowsupdate.microsoft.com, в случае успеха программа скачивает и запускает файл по ссылке
http://av-xp-2008.com/images/1263144...071e5d1437b80c 401c6982d513a0/ c897a1ec-c72f-449a-9e19-646046128ace.gif

На момент составления описания ссылка была недоступна, но есть основания полагать, что ранее на ней распологалось нежелательное программное обеспечение(not-a-virus:FraudTool), которое сообщает пользователю о наличии на компьютере вредоносных программ(даже если их на компьютере нет) и предлагает перечислить финансовые средства на определенные счета для оплаты лечения компьютера от этих программ. Также программа устанавливает фоновым рисунком рабочего стола следующее изображение:




Программа отсылает отчет по своей работе на электронный адрес
http://www.winifixer.com/log2.php
При этом указывая в отчете все успешно произведенные действия, а также следующую информацию о компьютере пользователя:
Информацию об установленном на компьютере аппаратном обеспечении.
Список запущенных процессов на момент запуска программы.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:53   #15
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Trojan-Spy.Win32. Goldun.bbo

20 апреля, 2010


Вредоносная программа, предназначенная для кражи конфиденциальных данных пользователя.
Инсталляция

При запуске программа извлекает из себя и создает на диске два файла, которые являются частями вредоносной программы и содержат основной вредоносный функционал:
%system%\netprp.dll
%system%\netpr.sys
Для автоматической загрузки динамически подключаемой библиотеки(netprp.dll) в адресное пространство создаваемых процессов, вредоносная программа создает ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify \netprp]
"Asynchronous"= 1
"DllName" = “netprp”
"Impersonate"= 1
"MaxWait"= 1
"ng950"="[817130DE43D93F323]"
"Startup"="netprp"
Также программа регистрирует драйвер netpr.sys как системный сервис.
Деструктивная активность

Вредоносная программа перехватывает информацию об учётной записи (логины и пароли), которые пользователь вводит на следующих сайтах:
sitekey.bankofamerica.com/sas/verifyImage.do
online*.bankofamerica.com/*
Также программа ищет на компьютере пароли от почтовых ящиков пользователя в программах The Bat! и Microsoft Office Outlook.

Собранная информация отправляется на сайт злоумышленника
http://kitroneza.cn/rss.php
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:55   #16
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Email-Worm.Win32. Iksmas.gey

20 апреля, 2010


Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Также программа создает следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
RList = "<random character>"
[HKCU\Software\Microsoft\Windows\CurrentVersion]
MyID = "<random character>"

Деструктивная активность

При запуске программа выполняет поиск адресов электронный почты на компьютере, найденные адреса программа в зашифрованной форме отсылает на адреса злоумышленника при помощи HTTP POST запроса. В ответ на данный запрос программа также может получить команду на скачивание другого вредоносного программного обеспечения.

Далее программа рассылает по всем найденным и полученным от злоумышленника электронным почтовым адресам письма, содержащие ссылку на адрес
http://adoresong.com/index.php
на котором предположительно раньше находилась вредоносная программа.

Также программа обновляет свою версию, скачивая её с электронного адреса
http://adoresong.com/index.php
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 22.04.2010, 14:57   #17
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Backdoor.Win32. Bredolab.bvv

20 апреля, 2010


Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\digiwet.dll
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders] "SecurityProviders" = "digiwet.dll"

Деструктивная активность

Программа соединяется с сервером
http://78.109.29.112.ru
На который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=bot&entity_list=&uid=&first= 1&guid=8809417 64&v=15&rnd=8520045
В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir%
\Temp\wpv<rnd>.exe и запускает.
Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=report&
guid=0&rnd=8520045&guid=&entity=1260187840:unique_ start;1
260188029:unique_start;1260433697:unique_start;126 0199741:unique_start
Таким образом, сообщая серверу об успешном заражении компьютера.
__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 23.04.2010, 19:58   #18
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

ZeuS научился заражать исполняемые файлы

23 апреля, 2010



Специалисты компании Symantec, изучившие свойства новой разновидности Zeus, сообщают, что, проникнув в систему типичным для троянской программы способом (обычно ZeuS распространяется через спам), этот троян пытается обнаружить в неком определенном месте исполняемые файлы. В каждый из этих файлов троян внедряет по 512 байт кода и переписывает точку входа так, чтобы при выполнении зараженного файла сначала отрабатывался внедренный код.

При запуске зараженного трояном файла, сначала производится загрузка из Сети вредоносного файла (его адрес жестко прописан в теле троянва), затем загруженный файл запускается и только после этого выполняется "родной" код изначального файла.

"Даже если антивирусные продукты смогут удалить основной компонент трояна, код остается в зараженном файле, позволяя трояну загрузить свои обновления и заразить машину заново", — поясняет специалист компании Symantec Такаеши Накаяма.

Специалисты отмечают, что некоторые трояны уже наделялись ранее похожими свойствами, хотя это и редкость. Однако следует иметь в виду, что ZeuS постоянно совершенствуется, то и дело обретая новую функциональность.

__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 23.04.2010, 20:01   #19
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

not-a-virus:AdWare. Win32.FunWeb.q

22 апреля, 2010


Программа-установщик панели MyWebSearch в Internet Explorer. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 102487 байт. Написана на C++.

Деструктивная активность

Панель MyWebSearch устанавливается вместе с другими инструментами (заставки, курсоры, блокировщик всплывающих окон, смайлы, открытки):


__________________
Tuflya07 вне форума   Ответить с цитированием
Старый 23.04.2010, 20:03   #20
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Email-Worm.Win32. Joleee.ep

22 апреля, 2010


Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\services.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"
Распространение

В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующего адреса:
http://91.207.4.250/s_alive.php
и сохраняет их во временном каталоге ОС Windows:
%Temp%\<rnd>.tmp
Где <rnd> – случайная последовательность цифр.

После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылает по протоколу SMTP с использованием следующих почтовых серверов:
mx.hotmail.com
mx.yahoo.com
mx.aol.com
mx.google.com
mx.mail.com

Деструктивная активность

С помощью системной утилиты netsh отключает системный брандмауэр
netsh firewall set opmode disable
А также изменяет следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 1
"FirewallOverride" = 1



[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s]
"Start" = 4



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile]
"EnableFirewall" = 0



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile]
"EnableFirewall" = 0
__________________
Tuflya07 вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

DigitalOcean Referral Badge

Текущее время: 01:42. Часовой пояс GMT +3.
volsat.com.ua