- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Lupper.A
Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях. Тело червя содержит 47,203 байтовую I386 ELF программу.
Lupper пытается выполнить набор из 4-х команд на удаленном сервере.
Изменяет папку к /tmp
Загружает копию червя с именем “lupii” с жестко прописанного IP адреса используя Wgt
Изменяет атрибуты исполнения
Выполняет загруженную копию червя
Червь экплуатирует следующие уязвимости:
AWStats Rawlog Plugin Input Vulnerability (Bugtraq 10950)
XML-RPC for PHP Remote Code Execution Exploit (CAN-205-1921)
Пытаясь эксплуатировать уязвимость в AWStat, червь ищет уязвимый сценарий в следующих местоположениях:
/cgi-bin/awstats.pl
/awstats/awstats.pl
/cgi-bin/awstats/awstats.pl
/cgi/awstats/awstats.pl
/scripts/awstats.pl
/cgi-bin/stats/awstats.pl
/stats/awstats.pl
Пытаясь эксплуатировать уязвимость в XML-RPC, червь ищет уязвимый сценарий в следующих местоположениях:
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
Lupper.A открывает UDP бекдор на 7111 порту, позволяя удаленному пользователю получить неавторизованный доступ к уязвимой системе.
Lupper.A – червь, распространяющийся через Web сервера, эксплуатирующий уязвимости в Web приложениях. Тело червя содержит 47,203 байтовую I386 ELF программу.
Lupper пытается выполнить набор из 4-х команд на удаленном сервере.
Изменяет папку к /tmp
Загружает копию червя с именем “lupii” с жестко прописанного IP адреса используя Wgt
Изменяет атрибуты исполнения
Выполняет загруженную копию червя
Червь экплуатирует следующие уязвимости:
AWStats Rawlog Plugin Input Vulnerability (Bugtraq 10950)
XML-RPC for PHP Remote Code Execution Exploit (CAN-205-1921)
Пытаясь эксплуатировать уязвимость в AWStat, червь ищет уязвимый сценарий в следующих местоположениях:
/cgi-bin/awstats.pl
/awstats/awstats.pl
/cgi-bin/awstats/awstats.pl
/cgi/awstats/awstats.pl
/scripts/awstats.pl
/cgi-bin/stats/awstats.pl
/stats/awstats.pl
Пытаясь эксплуатировать уязвимость в XML-RPC, червь ищет уязвимый сценарий в следующих местоположениях:
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
Lupper.A открывает UDP бекдор на 7111 порту, позволяя удаленному пользователю получить неавторизованный доступ к уязвимой системе.
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
W32.Mogi
W32.Mogi – червь, распространяющийся через файлообменные сети. Червь понижает настройки безопасности на скомпрометированном компьютере и может выполнять DoS атаки на сторонние ресурсы.
При первом запуске, W32.Mogi создает следующие файлы:
• %System%\layer.exe
• %System%\iexplore.exe
И добавляет значение "Services" = "iexplore.exe" к ключу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Червь также завершает работу следующих процессов на зараженной системе:
• KAVPF.exe
• agentw.exe
• AckWin32.exe
• Claw95.exe
• Monitor.exe
• avpm.exe
• _AVP32.EXE
• AVP32.EXE
• vshwin32.exe
• f-stopw.exe
• APVXDWIN.EXE
• PAVPROXY.EXE
• VbCons.exe
• vbcmserv.exe
• _AVPCC.EXE
• GBPOLL.EXE
• TAUMON.EXE
• zonealarm.exe
• vsmon.exe
• zapro.exe
• PERSWF.EXE
• MPFAGENT.EXE
• MPFSERVICE.exe
• MPFTRAY.EXE
• VSHWIN32.EXE
• VSECOMR.EXE
• WEBSCANX.EXE
• AVCONSOL.EXE
• VSSTAT.EXE
• ALOGSERV.EXE
• CMGRDIAN.EXE
• RULAUNCH.EXE
• VSMAIN.EXE
• Mcshield.exe
• iamapp.exe
• iamserv.exe
• WrCtrl.exe
• WrAdmin.exe
• lockdown2000.exe
• Sphinx.exe
• BlackICE.exe
• blackd.exe
• rapapp.exe
• IAMAPP.EXE
• NISUM.EXE
• IAMSTATS.EXE
• LUSPT.exe
• ccApp.exe
• ccEvtMgr.exe
• ccPxySvc.exe
• NISSERV.EXE
• AUTODOWN.exe
• VET32.exe
• ETRUSTCIPE.exe
• MWATCH.exe
• EFPEADM.exe
• EVPN.exe
• cleaner3.EXE
• cleaner.EXE
• Navw32.exe
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• NORMIST.EXE
• NVC95.EXE
• Claw95cf.exe
• Nupgrade.exe
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGSERV.EXE
• ICSUPP95.EXE
• ICLOADNT.EXE
• IOMON98.EXE
• Vet95.exe
• VetTray.exe
• AutoDown.exe
• Rescue.exe
• WRADMIN.EXE
• GUARD.EXE
• DOORS.EXE
• PCCIOMON.EXE
• AvkServ.exe
• notstart.exe
• AVSYNMGR.EXE
• MINILOG.EXE
• VSMON.EXE
• BLACKD.EXE
• NMAIN.EXE
• IAMSERV.EXE
• GUARDDOG.EXE
• PERSFW.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• SPHINX.EXE
• NPROTECT.EXE
• NDD32.EXE
• NETUTILS.EXE
• LDNETMON.EXE
• PORTMONITOR.EXE
• CONNECTIONMONITOR.EXE
• navapsvc
• NAVENGNAVEX15
• NAV Auto-Protect
• SymProxySvc.exe
• SweepNet
• SWEEPSRV.SYS
• AvSynMgr
• _AVPM.EXE
• AVPM.EXE
• NAVAPW32.EXE
• RTVSCN95.EXE
• DEFWATCH.EXE
• VPC32.EXE
• VPTRAY.EXE
• POPROXY.EXE
• NAVAPSVC.EXE
• ALERTSVC.EXE
• NAVLU32.EXE
• NAVWNT.EXE
• NPSSVC.EXE
• LUALL.EXE
• SWNETSUP.EXE
• ICLOAD95.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• ADVXDWIN.EXE
• PADMIN.EXE
• NWTOOL16.EXE
• NTVDM.EXE
• ANTS.EXE
• ANTI-TROJAN.EXE
• WRCTRL.EXE
• MOOLIVE.EXE
• MGHTML.EXE
• MCMNHDLR.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MGAVRTCL.EXE
• MGAVRTE.EXE
• SCAN32.EXE
• SCRSCAN.EXE
• SYMTRAY.EXE
• VSCHED.EXE
• MCTOOL.EXE
• AVXW.EXE
• AVXQUAR.EXE.EXE
• AMON9X.EXE
• AVGW.EXE
• WEBTRAP.EXE
• PCCWIN98.EXE
• POP3TRAP.EXE
• TDS-3.EXE
• SS3EDIT.EXE
• JEDI.EXE
• MONITOR.EXE
• RAV7WIN.EXE
• RAV7.EXE
• SWEEP95.EXE
• MCAGENT.EXE
• MCUPDATE.EXE
• ntrtscan.EXE
• pccwin97.EXE
• pccntmon.EXE
• pcscan.EXE
• CLAW95.EXE
• CLAW95CF.EXE
• VET95.EXE
• VETTRAY.EXE
• AUTODOWN.EXE
• VET32.EXE
• ETRUSTCIPE.EXE
• MWATCH.EXE
• EFPEADM.EXE
• EVPN.EXE
• RESCUE.EXE
• ACKWIN32.EXE
• DVP95.EXE
• DVP95_0.EXE
• F-AGNT95.EXE
• F-PROT95.EXE
• EXPERT.EXE
• FP-WIN.EXE
• F-STOPW.EXE
• VIR-HELP.EXE
• F-PROT.EXE
• SPYXX.EXE
• ATWATCH.EXE
• ATUPDATER.EXE
• ATCON.EXE
• PVIEW95.EXE
• WGFE95.EXE
• CTRL.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• GENERICS.EXE
• PROCESSMONITOR.EXE
• PROGRAMAUDITOR.EXE
• AVSYNMGR.EXE
• TFAK.EXE
• LUCOMSERVER.EXE
• WIMMUN32.EXE
• AutoTrace.exe
• NWService.exe
• NTXconfig.exe
• NeoWatchLog.exe
• NSCHED32.EXE
• WATCHDOG.EXE
• ISRV95.EXE
• REALMON.EXE
• AVWINNT.EXE
• AVGSERV9.EXE
• avkpop.exe
• avkservice.exe
• avkwctl9.exe
• fsav32.exe
• fameh32.exe
• fch32.exe
• fih32.exe
• fnrb32.exe
• fsaa.exe
• fsgk32.exe
• fsm32.exe
• fsma32.exe
• fsmb32.exe
• sbserv.exe
• apvxdwin.exe
• gbpoll.exe
• gbmenu.exe
• pavproxy.exe
• Avgctrl.exe
• Avsched32.exe
• defscangui.exe
• navapsvc.exe
• defalert.exe
• npscheck.exe
• AckWin32
• vshwin32
• f-stopw
• APVXDWIN
• PAVPROXY
• vbcmserv
• zonealarm
• MPFSERVICE
• VSHWIN32
• WEBSCANX
• AVCONSOL
• ALOGSERV
• CMGRDIAN
• RULAUNCH
• GUARDDOG
• lockdown2000
• BlackICE
• IAMSTATS
• navapw32
• ccEvtMgr
• AUTODOWN
• ETRUSTCIPE
• cleaner3
• AVXMONITOR9X
• AVXMONITORNT
• Claw95cf
• Nupgrade
• ICSUPP95
• ICLOADNT
• AutoDown
• PCCIOMON
• notstart
• AVSYNMGR
• LOCKDOWN
• LOCKDOWN2000
• NPROTECT
• NETUTILS
• LDNETMON
• PORTMONITOR
• CONNECTIONMONITOR
• SymProxySvc
• NAVAPW32
• RTVSCN95
• DEFWATCH
• ALERTSVC
• SWNETSUP
• ICLOAD95
• ICSUPP95
• ICSUPPNT
• ADVXDWIN
• NWTOOL16
• ANTI-TROJAN
• MCMNHDLR
• MCVSSHLD
• MGAVRTCL
• PCCWIN98
• POP3TRAP
• MCUPDATE
• ntrtscan
• pccwin97
• pccntmon
• CLAW95CF
• ACKWIN32
• F-AGNT95
• F-PROT95
• VIR-HELP
• ATUPDATER
• LDPROMENU
• GENERICS
• PROCESSMONITOR
• PROGRAMAUDITOR
• AVSYNMGR
• LUCOMSERVER
• WIMMUN32
• AutoTrace
• NWService
• NTXconfig
• NeoWatchLog
• NSCHED32
• WATCHDOG
• AVGSERV9
• avkservice
• avkwctl9
• apvxdwin
• pavproxy
• Avsched32
• defscangui
• defalert
• npscheck
А также удаляет следующие файлы:
• %System%\ath.exe
• %System%\balyoz.exe
• %System%\bomba.exe
• %System%\bonk.exe
• %System%\jolt2.exe
• %System%\kod.exe
• %System%\sin.exe
• %System%\suf.exe
• %System%\syn.exe
• %System%\smurf.exe
Для распостранения в файлообменных сетях червь копирует себя в следующие папки:
• %ProgramFiles%\Donkey2000\incoming
• %ProgramFiles%\ICQ\shared files
• %ProgramFiles%\Morpheus\My Shared Folder
• %ProgramFiles%\Bearshare\Shared
• %ProgramFiles%\Gnucleus\Downloads
• %ProgramFiles%\Gnucleus\Downloads\Incoming
• %ProgramFiles%\Kazaa\My Shared Folder
• %ProgramFiles%\Limewire\Shared
• %ProgramFiles%\emule\incoming
Используя одно из следующих имен файлов:
• Dragon_NaturallySpeaking_xp.exe
• norton_2004_setup.exe
• multi_password_cracker.exe
W32.Mogi – червь, распространяющийся через файлообменные сети. Червь понижает настройки безопасности на скомпрометированном компьютере и может выполнять DoS атаки на сторонние ресурсы.
При первом запуске, W32.Mogi создает следующие файлы:
• %System%\layer.exe
• %System%\iexplore.exe
И добавляет значение "Services" = "iexplore.exe" к ключу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Червь также завершает работу следующих процессов на зараженной системе:
• KAVPF.exe
• agentw.exe
• AckWin32.exe
• Claw95.exe
• Monitor.exe
• avpm.exe
• _AVP32.EXE
• AVP32.EXE
• vshwin32.exe
• f-stopw.exe
• APVXDWIN.EXE
• PAVPROXY.EXE
• VbCons.exe
• vbcmserv.exe
• _AVPCC.EXE
• GBPOLL.EXE
• TAUMON.EXE
• zonealarm.exe
• vsmon.exe
• zapro.exe
• PERSWF.EXE
• MPFAGENT.EXE
• MPFSERVICE.exe
• MPFTRAY.EXE
• VSHWIN32.EXE
• VSECOMR.EXE
• WEBSCANX.EXE
• AVCONSOL.EXE
• VSSTAT.EXE
• ALOGSERV.EXE
• CMGRDIAN.EXE
• RULAUNCH.EXE
• VSMAIN.EXE
• Mcshield.exe
• iamapp.exe
• iamserv.exe
• WrCtrl.exe
• WrAdmin.exe
• lockdown2000.exe
• Sphinx.exe
• BlackICE.exe
• blackd.exe
• rapapp.exe
• IAMAPP.EXE
• NISUM.EXE
• IAMSTATS.EXE
• LUSPT.exe
• ccApp.exe
• ccEvtMgr.exe
• ccPxySvc.exe
• NISSERV.EXE
• AUTODOWN.exe
• VET32.exe
• ETRUSTCIPE.exe
• MWATCH.exe
• EFPEADM.exe
• EVPN.exe
• cleaner3.EXE
• cleaner.EXE
• Navw32.exe
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• NORMIST.EXE
• NVC95.EXE
• Claw95cf.exe
• Nupgrade.exe
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGSERV.EXE
• ICSUPP95.EXE
• ICLOADNT.EXE
• IOMON98.EXE
• Vet95.exe
• VetTray.exe
• AutoDown.exe
• Rescue.exe
• WRADMIN.EXE
• GUARD.EXE
• DOORS.EXE
• PCCIOMON.EXE
• AvkServ.exe
• notstart.exe
• AVSYNMGR.EXE
• MINILOG.EXE
• VSMON.EXE
• BLACKD.EXE
• NMAIN.EXE
• IAMSERV.EXE
• GUARDDOG.EXE
• PERSFW.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• SPHINX.EXE
• NPROTECT.EXE
• NDD32.EXE
• NETUTILS.EXE
• LDNETMON.EXE
• PORTMONITOR.EXE
• CONNECTIONMONITOR.EXE
• navapsvc
• NAVENGNAVEX15
• NAV Auto-Protect
• SymProxySvc.exe
• SweepNet
• SWEEPSRV.SYS
• AvSynMgr
• _AVPM.EXE
• AVPM.EXE
• NAVAPW32.EXE
• RTVSCN95.EXE
• DEFWATCH.EXE
• VPC32.EXE
• VPTRAY.EXE
• POPROXY.EXE
• NAVAPSVC.EXE
• ALERTSVC.EXE
• NAVLU32.EXE
• NAVWNT.EXE
• NPSSVC.EXE
• LUALL.EXE
• SWNETSUP.EXE
• ICLOAD95.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• ADVXDWIN.EXE
• PADMIN.EXE
• NWTOOL16.EXE
• NTVDM.EXE
• ANTS.EXE
• ANTI-TROJAN.EXE
• WRCTRL.EXE
• MOOLIVE.EXE
• MGHTML.EXE
• MCMNHDLR.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MGAVRTCL.EXE
• MGAVRTE.EXE
• SCAN32.EXE
• SCRSCAN.EXE
• SYMTRAY.EXE
• VSCHED.EXE
• MCTOOL.EXE
• AVXW.EXE
• AVXQUAR.EXE.EXE
• AMON9X.EXE
• AVGW.EXE
• WEBTRAP.EXE
• PCCWIN98.EXE
• POP3TRAP.EXE
• TDS-3.EXE
• SS3EDIT.EXE
• JEDI.EXE
• MONITOR.EXE
• RAV7WIN.EXE
• RAV7.EXE
• SWEEP95.EXE
• MCAGENT.EXE
• MCUPDATE.EXE
• ntrtscan.EXE
• pccwin97.EXE
• pccntmon.EXE
• pcscan.EXE
• CLAW95.EXE
• CLAW95CF.EXE
• VET95.EXE
• VETTRAY.EXE
• AUTODOWN.EXE
• VET32.EXE
• ETRUSTCIPE.EXE
• MWATCH.EXE
• EFPEADM.EXE
• EVPN.EXE
• RESCUE.EXE
• ACKWIN32.EXE
• DVP95.EXE
• DVP95_0.EXE
• F-AGNT95.EXE
• F-PROT95.EXE
• EXPERT.EXE
• FP-WIN.EXE
• F-STOPW.EXE
• VIR-HELP.EXE
• F-PROT.EXE
• SPYXX.EXE
• ATWATCH.EXE
• ATUPDATER.EXE
• ATCON.EXE
• PVIEW95.EXE
• WGFE95.EXE
• CTRL.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• GENERICS.EXE
• PROCESSMONITOR.EXE
• PROGRAMAUDITOR.EXE
• AVSYNMGR.EXE
• TFAK.EXE
• LUCOMSERVER.EXE
• WIMMUN32.EXE
• AutoTrace.exe
• NWService.exe
• NTXconfig.exe
• NeoWatchLog.exe
• NSCHED32.EXE
• WATCHDOG.EXE
• ISRV95.EXE
• REALMON.EXE
• AVWINNT.EXE
• AVGSERV9.EXE
• avkpop.exe
• avkservice.exe
• avkwctl9.exe
• fsav32.exe
• fameh32.exe
• fch32.exe
• fih32.exe
• fnrb32.exe
• fsaa.exe
• fsgk32.exe
• fsm32.exe
• fsma32.exe
• fsmb32.exe
• sbserv.exe
• apvxdwin.exe
• gbpoll.exe
• gbmenu.exe
• pavproxy.exe
• Avgctrl.exe
• Avsched32.exe
• defscangui.exe
• navapsvc.exe
• defalert.exe
• npscheck.exe
• AckWin32
• vshwin32
• f-stopw
• APVXDWIN
• PAVPROXY
• vbcmserv
• zonealarm
• MPFSERVICE
• VSHWIN32
• WEBSCANX
• AVCONSOL
• ALOGSERV
• CMGRDIAN
• RULAUNCH
• GUARDDOG
• lockdown2000
• BlackICE
• IAMSTATS
• navapw32
• ccEvtMgr
• AUTODOWN
• ETRUSTCIPE
• cleaner3
• AVXMONITOR9X
• AVXMONITORNT
• Claw95cf
• Nupgrade
• ICSUPP95
• ICLOADNT
• AutoDown
• PCCIOMON
• notstart
• AVSYNMGR
• LOCKDOWN
• LOCKDOWN2000
• NPROTECT
• NETUTILS
• LDNETMON
• PORTMONITOR
• CONNECTIONMONITOR
• SymProxySvc
• NAVAPW32
• RTVSCN95
• DEFWATCH
• ALERTSVC
• SWNETSUP
• ICLOAD95
• ICSUPP95
• ICSUPPNT
• ADVXDWIN
• NWTOOL16
• ANTI-TROJAN
• MCMNHDLR
• MCVSSHLD
• MGAVRTCL
• PCCWIN98
• POP3TRAP
• MCUPDATE
• ntrtscan
• pccwin97
• pccntmon
• CLAW95CF
• ACKWIN32
• F-AGNT95
• F-PROT95
• VIR-HELP
• ATUPDATER
• LDPROMENU
• GENERICS
• PROCESSMONITOR
• PROGRAMAUDITOR
• AVSYNMGR
• LUCOMSERVER
• WIMMUN32
• AutoTrace
• NWService
• NTXconfig
• NeoWatchLog
• NSCHED32
• WATCHDOG
• AVGSERV9
• avkservice
• avkwctl9
• apvxdwin
• pavproxy
• Avsched32
• defscangui
• defalert
• npscheck
А также удаляет следующие файлы:
• %System%\ath.exe
• %System%\balyoz.exe
• %System%\bomba.exe
• %System%\bonk.exe
• %System%\jolt2.exe
• %System%\kod.exe
• %System%\sin.exe
• %System%\suf.exe
• %System%\syn.exe
• %System%\smurf.exe
Для распостранения в файлообменных сетях червь копирует себя в следующие папки:
• %ProgramFiles%\Donkey2000\incoming
• %ProgramFiles%\ICQ\shared files
• %ProgramFiles%\Morpheus\My Shared Folder
• %ProgramFiles%\Bearshare\Shared
• %ProgramFiles%\Gnucleus\Downloads
• %ProgramFiles%\Gnucleus\Downloads\Incoming
• %ProgramFiles%\Kazaa\My Shared Folder
• %ProgramFiles%\Limewire\Shared
• %ProgramFiles%\emule\incoming
Используя одно из следующих имен файлов:
• Dragon_NaturallySpeaking_xp.exe
• norton_2004_setup.exe
• multi_password_cracker.exe
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Troj/Viran-B
Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.
Troj/Viran-B может взаимодействовать с удаленным сервером через HTTP протокол.
При первом запуске Troj/Viran-B копирует себя в следущие файлы:
<Common Files>\System\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe
И создает следующие файлы:
<System>\divx5.dll
<System>\h323.txt
Файл divx5.dll определяется как Troj/HideProc-K.
Троян изменяет системные файлы sfc.dll или sfc_os.dll, в зависимости от операционной системы, чтобы отключить System File Checker. В результате троян в дальнейшем может изменять другие системные файлы.
Также создаются следующие ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Common Files>\system\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d
Troj/Viran-B – бекдор троян позволяющий удаленному злоумышленнику контролировать удаленный компьютер.
Troj/Viran-B может взаимодействовать с удаленным сервером через HTTP протокол.
При первом запуске Troj/Viran-B копирует себя в следущие файлы:
<Common Files>\System\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe
И создает следующие файлы:
<System>\divx5.dll
<System>\h323.txt
Файл divx5.dll определяется как Troj/HideProc-K.
Троян изменяет системные файлы sfc.dll или sfc_os.dll, в зависимости от операционной системы, чтобы отключить System File Checker. В результате троян в дальнейшем может изменять другие системные файлы.
Также создаются следующие ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Common Files>\system\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Trojan-Downloader. Win32.Stubby.d
24 ноября, 2005
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 26624 байта. Упакована Aspack. Размер распакованного файла — около 46 КБ.
После запуска троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"satmat"="<путь до троянской программы>"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный троянец скачивает с приведенного ниже адреса другую троянскую программу, сохраняет ее на зараженном компьютере и запускает на исполнение.
http://download.abet*********et.com/download/stmtreco/
Другие названия
Trojan-Downloader.Win32.Stubby.d («Лаборатория Касперского») также известен как: Trojan.DownLoader.1104 (Doctor Web), Troj/BettInet-C (Sophos), TR/Spy.Stemeco.A (H+BEDV), Downloader.Stubby.D (Grisoft), Trojan.Downloader.Stubby.D (SOFTWIN), Adware/IPInsight (Panda), Win32/TrojanDownloader.Stubby.D (Eset)
24 ноября, 2005
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 26624 байта. Упакована Aspack. Размер распакованного файла — около 46 КБ.
После запуска троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"satmat"="<путь до троянской программы>"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный троянец скачивает с приведенного ниже адреса другую троянскую программу, сохраняет ее на зараженном компьютере и запускает на исполнение.
http://download.abet*********et.com/download/stmtreco/
Другие названия
Trojan-Downloader.Win32.Stubby.d («Лаборатория Касперского») также известен как: Trojan.DownLoader.1104 (Doctor Web), Troj/BettInet-C (Sophos), TR/Spy.Stemeco.A (H+BEDV), Downloader.Stubby.D (Grisoft), Trojan.Downloader.Stubby.D (SOFTWIN), Adware/IPInsight (Panda), Win32/TrojanDownloader.Stubby.D (Eset)
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Email-Worm.Win32.Sober.y
24 ноября, 2005
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение об ошибке:
Error in packed Header
При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:
%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe
Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows"="%Windir%\WinSecurity\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows"="%Windir%\WinSecurity\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает свои версии в кодировке base64 со следующими именами:
%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
gmx.
.de
.li
.ch
.at
При этом имя отправителя зараженных писем может включать в себя следующие строки:
@bka
@cia
@fbi
@rtl
Тема письма:
* Account Information
* Ermittlungsverfahren wurde eingeleitet
* hi, ive a new mail address
* Ihr Passwort
* Mail delivery failed
* Mailzustellung wurde unterbrochen
* Paris Hilton & Nicole Richie
* Registration Confirmation
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
* Sie besitzen Raubkopien
* smtp mail failed
* SMTP Mail gescheitert
* You visit illegal websites
* Your IP was logged
* Your Password
Текст письма:
*
Account and Password Information are attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
*
Protected message is attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
*
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
*
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
*
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
*
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more
Download is free until Jan, 2006!
Please use our Download manager.
*
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** http://www.[имя домена получателя]
*** E-Mail: PassAdmin@[имя домена получателя]
*
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst
wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein
Ermit
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den
naechsten Tagen schriftlic
Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 – 0
*
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Имя файла-вложения:
* admin.zip
* akte.zip
* downloadm.zip
* ebay.zip
* email.zip
* email_text.zip
* hostmaster.zip
* info.zip
* list.zip
* mail.zip
* mail_body.zip
* mailtext.zip
* postman.zip
* postmaster.zip
* question_list.zip
* reg_pass.zip
* reg_pass-data.zip
* service.zip
* webmaster.zip
Прочее
Sober.y пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger
Также червь пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool).
24 ноября, 2005
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение об ошибке:
Error in packed Header
При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:
%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe
Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows"="%Windir%\WinSecurity\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows"="%Windir%\WinSecurity\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает свои версии в кодировке base64 со следующими именами:
%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
gmx.
.de
.li
.ch
.at
При этом имя отправителя зараженных писем может включать в себя следующие строки:
@bka
@cia
@fbi
@rtl
Тема письма:
* Account Information
* Ermittlungsverfahren wurde eingeleitet
* hi, ive a new mail address
* Ihr Passwort
* Mail delivery failed
* Mailzustellung wurde unterbrochen
* Paris Hilton & Nicole Richie
* Registration Confirmation
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
* Sie besitzen Raubkopien
* smtp mail failed
* SMTP Mail gescheitert
* You visit illegal websites
* Your IP was logged
* Your Password
Текст письма:
*
Account and Password Information are attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
*
Protected message is attached!
***** Go to: http://www.[имя домена получателя]
***** Email: postman@[имя домена получателя]
*
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!
*
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
*
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
*
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more
Download is free until Jan, 2006!
Please use our Download manager.
*
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** http://www.[имя домена получателя]
*** E-Mail: PassAdmin@[имя домена получателя]
*
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst
wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein
Ermit
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den
naechsten Tagen schriftlic
Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 – 0
*
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Имя файла-вложения:
* admin.zip
* akte.zip
* downloadm.zip
* ebay.zip
* email.zip
* email_text.zip
* hostmaster.zip
* info.zip
* list.zip
* mail.zip
* mail_body.zip
* mailtext.zip
* postman.zip
* postmaster.zip
* question_list.zip
* reg_pass.zip
* reg_pass-data.zip
* service.zip
* webmaster.zip
Прочее
Sober.y пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger
Также червь пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool).
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Email-Worm.Win32.Sober.u
24 ноября, 2005
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — около 130 КБ, размер в распакованном виде — около 266 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение:
Packed Word Data not present
При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\gdfjgthv.cvq
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках.
Тема письма:
* Haben Sie diese EMail verschickt?
* Registration Confirmation
Текст письма:
*
Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen sie zu erstatten!
Sie spinnen ja wohl! Die E-Mmailhat meine Tochter gelesen!!!!!!
Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt.
Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!!
*
Thanks for your registration.
Your data are saved in the zipped Word.doc file!
Имя файла-вложения:
* registration.zip
* Word-Text.zip
Архив содержит файл с именем Word-Text_packedList.exe.
Прочее
Email-Worm.Win32.Sober.u пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.
Также в случае если на зараженном компьютере используется Windows XP SP2 червь ищет в приведенных ниже каталогах файл TCPIP.SYS и обновляет его с целью изменения нормальной работы протокола TCP/IP и препятствия доступа в сеть.
%System%\dllcache
%System%\drivers
%Windir%\ServicePackFiles
24 ноября, 2005
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — около 130 КБ, размер в распакованном виде — около 266 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение:
Packed Word Data not present
При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\gdfjgthv.cvq
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках.
Тема письма:
* Haben Sie diese EMail verschickt?
* Registration Confirmation
Текст письма:
*
Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen sie zu erstatten!
Sie spinnen ja wohl! Die E-Mmailhat meine Tochter gelesen!!!!!!
Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt.
Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!!
*
Thanks for your registration.
Your data are saved in the zipped Word.doc file!
Имя файла-вложения:
* registration.zip
* Word-Text.zip
Архив содержит файл с именем Word-Text_packedList.exe.
Прочее
Email-Worm.Win32.Sober.u пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.
Также в случае если на зараженном компьютере используется Windows XP SP2 червь ищет в приведенных ниже каталогах файл TCPIP.SYS и обновляет его с целью изменения нормальной работы протокола TCP/IP и препятствия доступа в сеть.
%System%\dllcache
%System%\drivers
%Windir%\ServicePackFiles
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Backdoor.win32.Small.cz
24 ноября, 2005
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.
Деструктивная активность
После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный объект представляет собой IRC-бэкдор.
Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению
1. Выгрузить процесс troyan.exe из памяти.
2. Найти и удалить из реестра инсталляционный ключ бэкдора:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="%WinDir%\troyan.exe"
3. Найти и удалить файлы:
%WinDir%\troyan.exe
%WinDir%\z31.exe
4. Перезагрузить машину.
5. Произвести полную проверку компьютера.
24 ноября, 2005
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.
Деструктивная активность
После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный объект представляет собой IRC-бэкдор.
Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению
1. Выгрузить процесс troyan.exe из памяти.
2. Найти и удалить из реестра инсталляционный ключ бэкдора:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="%WinDir%\troyan.exe"
3. Найти и удалить файлы:
%WinDir%\troyan.exe
%WinDir%\z31.exe
4. Перезагрузить машину.
5. Произвести полную проверку компьютера.
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Trojan-Downloader. Win32.Slime.e
28 ноября, 2005
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер более 120 КБ. Размер зараженных файлов может существенно варьироваться.
После запуска троянец создает файл с именем Rundll.exe в системном каталоге Windows:
%System%\Rundll.exe
Данный троянец скачивает со приведенного ниже адреса другую троянскую программу, сохраняет ее на зараженном компьютере и запускает на исполнение.
http://chtao.***.south**.net/wg/mir2.exe
Также троянец изменяет следующий ключ системного реестра таким образом, чтобы при запуске файлов с расширением exe вместо этих файлов на исполнение запускался зараженный файл:
[HKCR\exefile\shell\open\command]
"default"="%System%\Rundll.exe %1 %"
Другие названия
Trojan-Downloader.Win32.Slime.e («Лаборатория Касперского») также известен как: W32/Wukill.worm.gen (McAfee), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV)
28 ноября, 2005
Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Имеет размер более 120 КБ. Размер зараженных файлов может существенно варьироваться.
После запуска троянец создает файл с именем Rundll.exe в системном каталоге Windows:
%System%\Rundll.exe
Данный троянец скачивает со приведенного ниже адреса другую троянскую программу, сохраняет ее на зараженном компьютере и запускает на исполнение.
http://chtao.***.south**.net/wg/mir2.exe
Также троянец изменяет следующий ключ системного реестра таким образом, чтобы при запуске файлов с расширением exe вместо этих файлов на исполнение запускался зараженный файл:
[HKCR\exefile\shell\open\command]
"default"="%System%\Rundll.exe %1 %"
Другие названия
Trojan-Downloader.Win32.Slime.e («Лаборатория Касперского») также известен как: W32/Wukill.worm.gen (McAfee), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV)
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Email-Worm.Win32.Bagle.ek
28 ноября, 2005
Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.
Червь представляет собой PE EXE-файл, размером около 21 КБ.
Инсталляция
После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:
%System%\windll2.exe
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.
Тема письма:
<пустое поле>
Текст письма:
Выбирается из списка:
info
Password:
texte
The password is
Имя файла-вложения:
Выбирается из списка:
Business.zip
Business_dealing.zip
Health_and_knowledge.zip
Info_prices.zip
max.zip
sms_text.zip
text_sms.zip
The_new_prices.zip
Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.
Действия рассылаемого по почте exe-компонента
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.
Размер данного файла — около 10 КБ.
При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:
%System%\hleader_dll.dll
%System%\hloader_exe.exe
Затем регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"auto_hloader_key"="%System%\hloader_exe.exe"
Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.
Другие названия
Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)
28 ноября, 2005
Почтовый червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Первоначально был разослан при помощи спам рассылки.
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.
Червь представляет собой PE EXE-файл, размером около 21 КБ.
Инсталляция
После запуска червь копирует себя с именем windll2.exe в системный каталог Windows:
%System%\windll2.exe
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем
Зараженные письма имеют пустое поле темы. Во вложение червь помещает не свою копию, а свой компонент, который может загружать из интернета другие вредоносные программы.
Тема письма:
<пустое поле>
Текст письма:
Выбирается из списка:
info
Password:
texte
The password is
Имя файла-вложения:
Выбирается из списка:
Business.zip
Business_dealing.zip
Health_and_knowledge.zip
Info_prices.zip
max.zip
sms_text.zip
text_sms.zip
The_new_prices.zip
Архив содержит файл с расширением «exe». Данный файл является компонентом червя и также детектируется Антивирусом Касперского как Email-Worm.Win32.Bagle.ek.
Действия рассылаемого по почте exe-компонента
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.
Размер данного файла — около 10 КБ.
При инсталляции запускаемый файл создает в системном каталоге Windows файлы с именами hloader_exe.exe и hleader_dll.dll:
%System%\hleader_dll.dll
%System%\hloader_exe.exe
Затем регистрирует себя в ключах автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"auto_hloader_key"="%System%\hloader_exe.exe"
Создаваемый dll-файл содержит в себе большой список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты самого червя Email-Worm.Win32.Bagle на более новые или же устанавливать в систему любые другие вредоносные программы.
Другие названия
Email-Worm.Win32.Bagle.ek («Лаборатория Касперского») также известен как: W32/Bagle.gen (McAfee), W32.Beagle.CO@mm (Symantec), Win32.HLLM.Beagle (Doctor Web), Troj/BagleDl-AB (Sophos), Worm/Bagle.DX (H+BEDV), Win32.Bagle.10.Gen@mm (SOFTWIN), Worm.Bagle.Gen-6 (ClamAV), W32/Bagle.FQ.worm (Panda), Win32/Bagle.DM (Eset)
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
W32/Loosky-C
30 ноября, 2005
W32/Loosky-C – мультикомонентный email червь с функциями Трояна для windows платформ.
При первом запуске W32/Loosky-C копирует себя в файл <Windows>\sachostx.exe и создает следующие файлы:
<System>\attrib.ini - clean log file
<System>\hard.lck - clean zero-byte file
<System>\msvcrl.dll - stealthing component, also steals website information
<System>\sachostb.exe - backdoor Trojan component
<System>\sachostc.exe - tcp redirecting component
<System>\sachostm.exe - log-mailing component
<System>\sachostp.exe - password-stealing component
<System>\sachosts.exe - socks proxy component
<System>\sachostw.exe - main email worm component
Также создается следующий ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HostSrv
<Windows>\sachostx.exe
W32/Loosky-C использует netsh чтобы обойти настройки Windows файрвалла.
W32/Loosky-C крадет пароли пользователей, информацию о посещении банковских сайтов и сохраняет их в файле attrib.ini.
W32/Loosky-C работает как прокси, перенаправляя информацию через зараженные компьютеры.
W32/Loosky-C содержит бекдор компоненты, которые могут послать информацию о зараженном компьютере удаленному пользователю, изменить и запустить файлы на зараженном компьютере.
W32/Loosky-C распостраняет свою копию по email адресам, собранным на зараженном компьютере со следующими характеристиками.
Заголовок:
Oh my god! Can't believe this
Тело сообщения:
Guess what happened!
I joined this amazing dat.ing portal and met 6 girls in my city in half a day!
I got laid 4 times this week, and now I don't know how to explain you but
there's no way I can handle all these chicks who love to have fun !
I never imagined there'd be so many hot/cool chicks in my area willing to
just meet up and have fun.
Buddy, I highly recommed this, log on, it's no charge! Get a cool nickname
and start dating.
This is the right time
30 ноября, 2005
W32/Loosky-C – мультикомонентный email червь с функциями Трояна для windows платформ.
При первом запуске W32/Loosky-C копирует себя в файл <Windows>\sachostx.exe и создает следующие файлы:
<System>\attrib.ini - clean log file
<System>\hard.lck - clean zero-byte file
<System>\msvcrl.dll - stealthing component, also steals website information
<System>\sachostb.exe - backdoor Trojan component
<System>\sachostc.exe - tcp redirecting component
<System>\sachostm.exe - log-mailing component
<System>\sachostp.exe - password-stealing component
<System>\sachosts.exe - socks proxy component
<System>\sachostw.exe - main email worm component
Также создается следующий ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HostSrv
<Windows>\sachostx.exe
W32/Loosky-C использует netsh чтобы обойти настройки Windows файрвалла.
W32/Loosky-C крадет пароли пользователей, информацию о посещении банковских сайтов и сохраняет их в файле attrib.ini.
W32/Loosky-C работает как прокси, перенаправляя информацию через зараженные компьютеры.
W32/Loosky-C содержит бекдор компоненты, которые могут послать информацию о зараженном компьютере удаленному пользователю, изменить и запустить файлы на зараженном компьютере.
W32/Loosky-C распостраняет свою копию по email адресам, собранным на зараженном компьютере со следующими характеристиками.
Заголовок:
Oh my god! Can't believe this
Тело сообщения:
Guess what happened!
I joined this amazing dat.ing portal and met 6 girls in my city in half a day!
I got laid 4 times this week, and now I don't know how to explain you but
there's no way I can handle all these chicks who love to have fun !
I never imagined there'd be so many hot/cool chicks in my area willing to
just meet up and have fun.
Buddy, I highly recommed this, log on, it's no charge! Get a cool nickname
and start dating.
This is the right time
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Troj/Bancban-JC
30 ноября, 2005
Troj/Bancban-JC - троян, крадущий банковскую информацию.
Troj/Bancban-JC крадет конфиденциальную информацию принадлежащую различным онлайн банкам, отображая поддельное диалоговое окно входа в систему и посылает украденную информацию удаленному пользователю.
При первом запуске Troj/Bancban-JC копирует себя в <Windows folder>\config\svchost.exe и создает файл <Windows system folder>\Temp.Ini.
Также создается следующий ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<random>
<Windows folder>\config\svchost.exe
30 ноября, 2005
Troj/Bancban-JC - троян, крадущий банковскую информацию.
Troj/Bancban-JC крадет конфиденциальную информацию принадлежащую различным онлайн банкам, отображая поддельное диалоговое окно входа в систему и посылает украденную информацию удаленному пользователю.
При первом запуске Troj/Bancban-JC копирует себя в <Windows folder>\config\svchost.exe и создает файл <Windows system folder>\Temp.Ini.
Также создается следующий ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<random>
<Windows folder>\config\svchost.exe
Активисты все еще ищутся здесь!
- TOSHIK
- Администратор
- Сообщения: 6596
- Зарегистрирован: Пт авг 08, 2003 13:49
- Откуда: Ростов-на-Дону
- Контактная информация:
Dial/Eocha-B
30 ноября, 2005
Dial/Eocha-B – звонилка для доступа к порнографическим материалам.
При первом запуске Dial/Eocha-B копирует себя в папки Desktop и User.
Dial/Eocha-B изменяет начальную страницу браузера Microsoft Internet Explorer изменяя следующий ключ реестра:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
Также изменяются ключи реестра, влияющие на безопасность компьютера:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1004
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1201
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
MinLevel
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
RecommendedLevel
30 ноября, 2005
Dial/Eocha-B – звонилка для доступа к порнографическим материалам.
При первом запуске Dial/Eocha-B копирует себя в папки Desktop и User.
Dial/Eocha-B изменяет начальную страницу браузера Microsoft Internet Explorer изменяя следующий ключ реестра:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
Также изменяются ключи реестра, влияющие на безопасность компьютера:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baciamistupido.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\dolcezze.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\nanobyte.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popup-freesex-adv.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ricercadoppia.com\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\roserosse.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-videochat-community.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\terzodesiderio.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz\www
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\umts-gprs-mondo-telefonino-cellulare.biz\www
*
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1004
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1201
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
MinLevel
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
RecommendedLevel
Активисты все еще ищутся здесь!
- =Божественная Очаровашка=
- Частый гость
- Сообщения: 220
- Зарегистрирован: Чт дек 08, 2005 13:36
- Откуда: Шахты