Вредоносное ПО (Обзор)

[Abai]

Русские антивирусы провалили тест Virus Bulletin

для тех кому интерестно:
http://cnews.ru/news/top/index.shtml?2007/12/10/278736
http://www.viruslist.com/ru/analysis...261388#avtests
http://www.av-comparatives.org/
ОБСУЖДЕНИЕ

[Dark Rainfal]

(c) virusinfo.info

Ссылка на описание и лечение вируса.
virusinfo.info/showthread.php?p=161534

Trojan.Win32.BHO.abo

Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

[lastmylove]

Червь W32.Korron.A

Описание

Признаки

При запуске создает следующие файлы:

* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt
* %UserProfile%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
* %System%\IExplorer.exe
* %System%\MrHello.scr
* %System%\shell.exe
* %Windir%\msvbvm60.dll
* %Windir%\r0nk0r.exe
* %Windir%\r0nk0r.vbs.jpg
* %Windir%\Setup.exe
* %SystemDrive%\Puisiku.txt
* %SystemDrive%\r0nk0r\Folder.htt
* %SystemDrive%\r0nk0r\Poto wow.exe
* %SystemDrive%\r0nk0r.exe


Копирует себя на все локальные, съемные и сетевые диски, которым присвоена буква: создает в корне файлы "Data Administrator.exe" и "desktop.ini".

Обеспечивает себе автозагрузку при старте Windows и при открытии ряда файлов. Для этого делает в реестре следующие записи:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"LoggonAdministrator" = "%SystemDrive%\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Sysmontrng" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICE.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"r0nk0r" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"ServiceAdministrator" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\docfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xlsfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\IExplorer.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe "C:\WINDOWS\system32\IExplorer.exe""
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\"(defa ult)" = "File Folder"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\ open\command\"(default)" = ""C:\WINDOWS\system32\shell.exe" "%1" %*"


Создает в реестре следующие записи:

* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
* HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "C:\WINDOWS\system32\MRHELL~1.SCR"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"


Модифицирует следующие записи реестра (указаны новые значения ключей):

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Debugger" = ""C:\WINDOWS\system32\Shell.exe""
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "C:\WINDOWS\r0nk0r.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoFolderOptions" = "1"


Завершает процессы, содержащие в названии следующие строки:

* AN'SAV
* ANSAV
* ANTI
* ASM
* AVS
* BUG
* DBG
* DETEC
* HEX
* NOD32
* OPTIONS
* PCMAV
* PROC
* REG
* S M A D A V
* SCAN
* SCANNER
* SECURITY
* SMADAV
* TASK
* VIRUS
* W32
* WALK


Может попытаться открыть на захваченном компьютере созданный им текстовый файл:

* %UserProfile%\Local Settings\Application Data\WINDOWS\Puisiku.txt


Файл содержит следующий текст:

Maaf
================================================
Maaf
Apa yang kulakukan tak dapat kumaafkan
Benar[УДАЛЕНО]r.a
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски, включая съемные. Снижает уровень защищенности системы.

источник: Symantec.com

[lastmylove]

Червь W32.Joydotto

Описание

Признаки

При запуске создает следующие файлы:

* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Explorer.exe
* %Windir%\system.exe


Копирует себя на все диски: в корне создает свою копию под именем auto.exe и файл автозапуска AUTORUN.INF.

Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, System"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe, System"


Создает следующие записи в реестре:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Bkav2006.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCAPP.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FireTray.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEProt.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPLUS.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVOL.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXp_1.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWATCHUI.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kav.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KavPFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KpopMon.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kvsrvxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCAGENT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCVSESCN.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSKAGENT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvsvc32.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVMON.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVTIMER.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RRfwMain.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavService.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rtvscan.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHSTAT.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBMon.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpdaterUI.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTray.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdss.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\far.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\icesword.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\worm2007.exe\"Debugger" = "system.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe\"Debugger" = "system.exe"


Заменяет стартовые URL для Yahoo! Messenger:

* HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ Launchcast\"content url" = "myebuddy.com"
* HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_ buzz\"content url" = "myebuddy.com"


Отключает "Редактор реестра" и "Диспетчер задач":

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System\"DisableRegistryTools" = "1"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System\"DisableTaskMgr" = "1"


Через реестр отключает ряд настроек "Проводника" и другие настройки, для сокрытия своего присутствия в системе:

* HKEY_CURRENT_USER\Software\Microsoft\Command Processor\"EnableExtensions" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "myebuddy.com"
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\"PopupMgr" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{282f98e4-c1d2-11db-8515-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{56999cef-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "91"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoFolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoRun" = "1"
* HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel\"Homepage" = "1"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "2"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
* HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Shell Folders\"Common Startup" = "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"


Пытается обновить себя через http, подключаясь к следующим URL:

* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]
* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]


Ведет удаленную статистику заражений, обращаясь к следующему URL:

* [http://]70.86.197.82/~ohnishi/ranking/test[???]


Рассылает ссылки на себя через Yahoo! Instant Messenger:

* [http://]72.232.141.84/~cgitnet/ledads/Change[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]
* [http://]206.221.179.205/~ampedmed/Fo...tes/xand/upgra[???]
* [http://]72.232.208.150/~aryacdc/images/toc[???]
* [http://]72.232.108.82/~grimsby/images/butto[???]
* [http://]216.246.30.66/~mkshost/forum...ubSilver/upgra[???]


Завершает процессы, содержащие следующие строки:

* BITDEFENDER
* BKAV
* ccEvtMgr
* ccProxy
* ccSetMgr
* D32
* Duba
* FireSvc
* GOOGLE.COM
* IceSword
* KPfwSvc
* KVSrvXP
* KVWSC
* McAfeeFramework
* McShield
* McTaskManager
* msctls_statusbar32
* MskService
* navapsvc
* NOD32
* NPFMntor
* RsCCenter
* RsRavMon
* Schedule
* sharedaccess
* SNDSrvc
* SPBBCSvc
* Symantec AntiVirus
* Symantec Core LC
* System Safety Monitor
* VirusScan
* Wrapped gift Killer
* wscsvc


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на все диски и рассылкой через Yahoo! Instant Messenger.

Загружает дополнительный вредоносный код; прерывает антивирусные процессы.

источник: Symantec.com

[lastmylove]

Червь Wow.SI

Описание

Признаки

При запуске открывает окно "Проводника", отображающее содержимое корня диска C:.

Подавляет предупреждения антивирусов Касперского. Ищет окна с именами "AVP.AlertDialog" и "AVP.Product_Notification" и закрывает их. Также завершает ряд процессов, принадлежащих другим антивирусам и инструментам защиты.

Периодически загружает с веб-сайта обновления.

При запуске создает следующие файлы в системной директории Windows (далее %sysdir%):

* AVMO.EXE и AVPO.EXE - копии червя
* AVPO0.DLL - загружает файл с обновлением червя
* WINCAB.SYS - руткит


Первым трем файлам присваиваются атрибуты "системный" и "скрытый". Через реестр червь отключает отображение файлов таких типов в "Проводнике", что затрудняет их визуальное обнаружение:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000002
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000000
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL \ "" = 00000000
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ "" = 00000091


Через реестр обеспечивает себе автозагрузку при каждом старте системы:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\avpo.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\amvo.exe


Также создает следующую запись в реестре:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ CLSID\ MADOWN \ "" = maver8m9


Регистрирует для руткита два сервиса (XSWEDFTG и ZXSDERFBUKJFYSHLHFRST) с автоматическим запуском:

* HKEY_LOCAL_MACHINE\ Registry\ Machine\ System\ CurrentControlSet\ Services\ xswedftg
* HKEY_LOCAL_MACHINE \ Registry\ Machine\ System\ CurrentControlSet\ Services\ zxsderfbukjfyshlhdfrst


Распространяется копированием себя на все диски, подключенные к системе. В корне каждого диска создает файл autorun.inf, обеспечивающий запуск при каждом подключении диска к системе.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Основное предназначение - хищение паролей к онлайн-играм (World of Warcraft, Lineage). Пытается завершить процессы, принадлежащие защитным приложениям. Использует руткит для сокрытия своего присутствия в системе. Распространяется копированием себя на все диски.

источник: PandaSecurity.com

[lastmylove]

Червь Chike.B

Описание

Признаки

При запуске создает свои копии:

* CHICKIE.EXE - в поддиректории inf директории Windows (далее %windir%)
* SVCHOST.EXE
* _FICHIERS.EXE и _SAVES.EXE - на съемных дисках


Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:

* HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ chiCkie = %windir%\inf\chiCkie.exe
* HKEY_ALL_USERS\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "I just want to say I love Milko and I need a drink" = %user profiles%\Local Settings\Application Data\ svchost.exe


Отключает "Редактор реестра", "Восстановление системы", опцию "Завершить работу" в меню "Пуск", "Поиск" в меню "Пуск", пункт "Запуск" в меню "Пуск", опцию "Свойства папки" в "Проводнике", запрещает изменения в меню "Пуск":

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 01, 00, 00, 00
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore \ Disable SR = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ StartMenuLogOff = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFind = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoRun = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer \ NoSetFolders = 1


Написан на языке Delphi.
ЗАЩИТА

* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски.

Поступает на компьютер в виде исполняемого файла с иконкой, идентичной иконке папки.

источник: PandaSecurity.com

[lastmylove]

Червь Lineage.HIT

Описание

Признаки

При запуске создает свою копию в системной директории Windows (%sysdir%) под именем AVMO.EXE и библиотеку, отвечающую за загрузку обновлений - AVPO0.DLL.

Также копирует себя в корень всех дисков, которым присвоена буква. Там же создает файл autorun.inf, обеспечивающий автозагрузку при подключении диска к системе.

Обеспечивает себе автозагрузку при старте Windows. Делает в реестре следующую запись:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ amva = %sysdir%\amvo.exe


Через реестр отключает отображение скрытых и системных файлов, а также файлов операционной системы.

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ Hidden = 00, 00, 00, 00 HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Предназначен для кражи паролей к онлайн-играм: Lineage: Lands of Aden, World of Warcraft, Maple Story, Legend of Mir.

Распространяется копированием себя на все диски; загружает свои обновления с веб-сайта атакующего.

источник: PandaSecurity.com

[lastmylove]

Червь Dung.A

Описание

Признаки

При старте создает следующие файлы:

* DC.EXE и SVIQ.EXE - в директории Windows (далее %windir%)
* OTHER.EXE - в поддиректории Help директории Windows
* FUN.EXE - в системной директории Windows (далее %sysdir%)
* WINSIT.EXE - в системной директории Windows
* WIN.EXE - в поддиректории config системной директории Windows
* XPEN.DAT - в системной директории Windows


В реестре создает следующие записи, обеспечивающие запуск червя при каждой загрузке Windows:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ Fun = %windir%\system\Fun.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc = %windir%\dc.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc2k5 = %windir%\SVIQ.EXE
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ run = %sysdir%\config\Win.exe


Изменяет параметры загрузки оболочки Explorer.exe, дописывая ссылку на себя (также для автозагрузки):

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe, %sysdir%\Winsit.exe
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ load = %windir%\inf\Other.exe


Исполняемый файл имеет стандартную иконку папки.

Через Yahoo! Messenger рассылает себя в случае, если данный IM-клиент установлен на компьютере и запущен. Рассылает себя по списку контактов всем, кто находится в онлайне, сопровождая файл сообщением. Одно из сообщений: Olalala, may tinh cua ban da dinh Worm DungCoi
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски и рассылкой копий через Yahoo! Messenger.

Открывает произвольный порт, ожидает инструкций, в частности, на отправку данных о системе и загрузку дополнительных модулей с заданного URI.

источник: PandaSecurity.com

[lastmylove]

Червь ManClick.A

Описание

Признаки

При старте открывает несколько окон Internet Explorer и загружает подставные сайты, имитирующие Google. В частности, http://clic[???]anu.com.

Среди результатов поиска данные сайты могут выдавать результаты, ведущие на троянские сайты для загрузки дополнительного вредоносного кода.

Через реестр отключает "Редактор реестра", "Диспетчер задач", опцию "Свойства папки" в "Проводнике", доступ к консоли (cmd.exe), опцию "Поиск" в меню "Пуск". Подменяет стартовую страницу Internet Explorer, отключает возможность загрузки в "Безопасном режиме". Предотвращает запуск ряда антивирусных и защитных приложений.

При старте создает следующие файлы:

* C:\AUTO.EXE
* SYSTEM.EXE - в директории Windows (далее %windir%)
* EXPLORER.EXE - в папке Автозагрузки (таким образом запускается при каждом старте Windows)
* C:\AUTORUN.INF


Для выполнения вышеуказанных действий по отключению и изменению настроек системы, делает в реестре следующие записи:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableTaskMgr = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableCMD = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFind = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1


Создает/модифицирует следующие записи реестра, если в системе установлен Yahoo! Messenger:

* HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_buzz \ content url = %сайт_атакующего%
* HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_Launchcast \ content url = %сайт_атакующего%


Создает в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Image File Execution Options записи, предотвращающие запуск следующих файлов защитных приложений:

* bdagent.exe
* bdss.exe
* Bkav2006.exe
* CCAPP.exe
* CCenter.exe
* cmd.exe
* EGHOST.exe
* far.exe
* FireTray.exe
* icesword.exe
* IEProt.exe
* Iparmor.exe
* Kav.exe
* kav32.exe
* KavPFW.exe
* KAVPLUS.exe
* kavstart.exe
* kavsvc.exe
* KpopMon.exe
* KRegEx.exe
* KVCenter.kxp.exe
* KVFW.exe
* KVMonXP.exe
* KVOL.exe
* kvolself.exe
* Kvsrvxp.exe
* KVSrvXp_1.exe
* kvwsc.exe
* KWATCHUI.exe
* livesrv.exe
* MAILMON.exe
* MCAGENT.exe
* MCVSESCN.exe
* MSKAGENT.exe
* Nvsvc32.exe
* PFW.exe
* RAVMON.exe
* RavMonD.exe
* RavService.exe
* RavTask.exe
* RAVTIMER.exe
* RfwMain.exe
* RRfwMain.exe
* Rtvscan.exe
* SHSTAT.exe
* TBMon.exe
* TrojDie.kxp.exe
* UpdaterUI.exe
* VPTray.exe
* vsserv.exe
* worm2007.exe
* xcommsvr.exe


Через реестр обеспечивает себе автозагрузку при каждом старте системы:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe, System
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Userinit = %sysdir%\userinit.exe, System


Через реестр заменяет стартовую страницу Internet Explorer:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Start Page = http://clic[???]anu.com


Удаляет из реестра записи, отвечающие за загрузку системы в "Безопасном режиме":

* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive


Иконка исполняемого файла идентична иконке папки.

Распространяется, копируя себя на все диски и сопровождая свою копию файлом autorun.inf, который обеспечивает запуск червя при подключении диска к системе.

Сжат UPX.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Перенаправляет трафик Google на подставной сайт, идентичный по дизайну. Распространяется копированием на все диски.

Легко распознается визуально: при запуске открывает несколько окон Internet Explorer, в которые загружает подставные сайты Google.

источник: PandaSecurity.com

[lastmylove]

Червь Ressentment.A

Описание

Признаки

При запуске пытается запустить бинарный файл winapp32, что приводит к выводу сообщения об отсутствии ассоциации системы с данным расширением файла, и файл открывается в "Блокноте".

Добавляет в пункт контекстного меню Windows "Send to" подпункт "Carpeta comprimida (en ZIP)". Такая опция уже существует в данном пункте меню и называется "Compressed (zipped) Folder". При выборе пользователем опции "Carpeta comprimida (en ZIP)", активируется копия червя.

Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке. На странице имеется кнопка "Actualizar" ("Обновить", испанский), при нажатии которой червь пытается отправить письмо по определённому адресу с сообщением о том, что двое сотрудников определённой компании должны быть уволены.

При запуске создает следующие файлы:

* FOLDER32.EXE - в системной директории Windows, копия червя
* MI MUSICA.EXE и MIS IMAGENES.EXE - в директории "Мои документы", копия червя
* CARPETA COMPRIMIDA (EN ZIP).EXE - в поддиректории "SendTo" директории "Documents and Settings" текущего пользователя, копия червя
* ERROR.HTM - в системной директории Windows
* Файлы с именами из 8 случайных символов с расширениями EXE, BAT, COM, PIF и SCR в директории Windows и системной директории Windows


Обеспечивает себе автозагрузку, делая в реестре следующие записи:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Folder32 = %sysdir%\folder32.exe


Для замены заголовка окна Internet Explorer делает в реестре запись:

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Window Title = ELI Corportation LaBs 2007


Записывает в реестр признак заражения компьютера:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ CETEC \ WormVersion = 1.0


Модифицирует стартовую страницу Internet Explorer (через реестр):

* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Start Page = file:///%sysdir%\error.htm


Распространяется копированием себя на все диски, записывая в корень два файла - SYSTEMVOLUMEINFORMATION.EXE и файл автозапуска AUTORUN.INF.

Написан на языке Visual Basic 6.0.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски. Иконка червя идентична иконке папки Windows.

Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке.

Пытается отправить письмо на определенный адрес с текстом о том, что двое сотрудников определенной компании должны быть уволены.

источник: PandaSecurity.com

[lastmylove]

Червь Nuwar.QI

Описание

Признаки

При запуске создает следующие файлы:

* DIPERTO????-????.SYS - руткит Rootkit/Nuwar.QJ (? - случайный символ)
* DIPERTO.INI - файл со списком процессов, IP-адресом и другими данными, собранными червем


Регистрируется как сервис с автоматическим режимом запуска при старте Windows.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows, приуроченный ко Дню Святого Валентина (14 февраля). Распространяется по электронной почте по адресам из "Адресной книги" Windows. Письмо с темой "I Love You", "Me & You", "My Love For You", "Happy Valentine's Day" или "Valentine's Day" содержит ссылку на сайт, где содержится изображение на тему праздника. По щелчку на изображение загружается файл VALENTINE.EXE, являющийся копией червя.

Для сокрытия себя в системе использует руткит Rootkit/Nuwar.QJ.

источник: PandaSecurity.com

[lastmylove]

Червь W32.Spybot.AVEN

Описание

Признаки

При запуске создает свою копию в системной директории Windows (далее %System) под названием winbot.exe.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого вносит в реестр следующие записи:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"YahooServices" = "57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"YahooServices" = "57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00"

Пытается подключиться к IRC-серверам irc.w33d561.com и server27.bounceme.net.

Пытается отключить процессы, принадлежащие антивирусам Norton, Microsoft и Kaspersky.

Может похищать с захваченного компьютера данные об учетной записи, пароли, серийный номер AIM (AOL Instant Messenger), ключ Windows, реквизиты доступа к AOL, ключи к HalfLife и Counterstrike.

Данная информация может быть получена атакующим при помощи IRC-команд.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на внешние сетевые ресурсы, незащищенные паролем на запись, или защищенные слабым паролем. Крадет конфиденциальную информацию с захваченного компьютера, открывает в системе "черный ход".

источник: Symantec.com

[lastmylove]

Червь W32.Gampxia

Описание

Признаки

При запуске создает следующие файлы:

* C:\WINDOWS\Temp\svchost.exe
* C:\Documents and Settings\All Users\[Kaishi Caidan]\[Chengxu]\[Qidong]\svchost.exe


Вышеуказанные файлы создаются только на версиях Windows, локализованных под упрощенную китайскую кодировку (Simplified Chinese).

Для всех версий Windows создает следующие файлы:

* C:\WINDOWS\cs.txt (чистый файл)
* C:\WINDOWS\Temp\Url.txt (файл конфигурации, содержимое которого получает потом из интернета)
* C:\WINDOWS\Temp\winpcap.exe (программа WinPcap)
* C:\WINDOWS\Temp\arp.exe (копия Hacktool)


(Замечание: неизвестно, является ли arp.exe хакерским инструментом (Hacktool), либо это стандартная утилита Windows для работы с адресными таблицами)

Копирует себя на все диски в корень под именем svchost.exe; там же создает файл autorun.inf, содержащий команду "open=svchost.exe". Таким образом червь запускается при подключении диска к системе.

Заменяет своей копией исполняемый файл Диспетчера задач (taskmgr.exe в системной директории Windows).

Удаляет в реестре подключ:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network


Устанавливает системное время на 1 декабря 1989 года, что позволяет запретить сканирование системы некоторыми антивирусами от Kaspersky.

Загружает Infostealer.Gampass, троян, крадущий реквизиты доступа к игровым серверам, с URL [http://]www.balbv.cn/xz/12387617/log[???].

Копия Hacktool загружается с URL [http://]www.balbv.cn/xz/12387617/arp.exe.

WinPCap загружается с URL [http://]www.balbv.cn/xz/12387617/winpcap.exe

Пытается распространяться через сетевой ресурс \C$\, копируя туда файлы Setup.exe и или AutoExec.bat.

Отправляет атакующему оповещение о захвате компьютера, включая информацию об антивирусных приложениях, работающих в системе, по следующему URL: [http://]www.sitama.cn/lin[???]

Удаляет все файлы с расширением .gho на дисках D:, E: и F:.

Внедряет код в файлы с расширениями .jsp, .html, .htm, .aspx, .asp и .php на дисках D:, E: и F:. Данные "зараженные" файлы определяются антивирусами Symantec как W32.Gampxia!html.

Закрывает окна, относящиеся к антивирусным приложениям, по их именам:

* NOD32
* Rising (на китайском)
* Jiangmin (на китайском)
* Kaspersky (на китайском)
* Kingsoft (на китайском)


Завершает процессы 360tray.exe и 360safe.exe.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на все диски, включая съемные и сетевые. Загружает на компьютер копии Infostealer.Gampass, Hacktool и библиотеку перехвата трафика WinPCap.

Внедряет в HTML-файлы код обращения к сайту атакующего.

Устанавливает системное время в 1 декабря 1989 г.

источник: Symantec.com

[lastmylove]

Червь W32.Imaut.CO

Описание

Признаки

При запуске создает следующие файлы:

* %Windir%\True_Love.exe
* %Windir%\MsRun32.exe
* %System%\True_Love.exe
* %System%\MsRun32.exe
* %System%\autorun.ini
* %System%\yahoomsgs.ini


(%Windir% - директория, в которую установлена Windows, %System% - системная директория Windows.)

Копирует себя в корень всех съемных и сетевых дисков под именами True_love.exe и MsRun32.exe. Там же создает файл автозапуска autorun.inf, обеспечивающий запуск червя при подключении диска к системе.

Также копирует себя на все съемные диски под именами директорий, существующих в корне диска, с расширением .exe. Пользователь может перепутать их в "Проводнике" и запустить копию червя вместо открытия директории.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создает и модифицирует в реестре следующие записи соответственно:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MSN Messengger" = "%System%\MsRun32.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe MsRun32.exe"


Через реестр отключает "Редактор реестра" и "Диспетчер задач":

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"


Модифицирует также следующие записи в реестре:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0 "
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "%DriveLetter%\True_Love.exe"


Завершает процессы со следующими именами:

* cmd.exe
* Registry
* System Configuration
* Windows Task


Каждый час пытается обновлять себя.

Каждые полчаса пытается распространяться через Yahoo! Messenger, отправляя ссылку на свою копию по списку контактов пользователя, находящихся в режиме онлайн.

Ссылка [URL] отправляется с одним из следующих сообщений:

* Ha ha ha click on link to laugh ... [URL]
* what a joke ...... [URL]
* nice one see this .... [URL]
* what a joke .....click to see [URL]
* what a joke ...... [URL]
* nice to listen .......... [URL]
* what is this ? ......see [URL]
* i am busy you click on a link and see ... [URL]
* what is this ? ...... see [URL]


[URL] - ссылка [http://]tinyurl.com/2n[???]

Одно из сообщений, содержащих ссылку, выставляет в статус доступности текущего пользователя.

URL перенаправляет пользователя на вредоносный сайт, содержащий архив Santa-Banta-Joke-Flash-2008.zip, содержащий копию червя под именем "Read Joke.doc.exe".
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные диски и рассылкой URL своей копии через Yahoo! Messenger.

источник: Symantec.com

[lastmylove]

Trojan.Bankpatch.B

Описание

Признаки

При запуске создает файл-программу %Temp%\me.log. При запуске эта программа получает привилегии процесса WINLOGON.EXE.

Заражает следующие файлы:

* %System%\ws2_32.dll
* %System%\wininet.dll
* %System%\dllcache\ws2_32.dll
* %System%\dllcache\wininet.dll

Файлы увеличиваются в размере на 4 КБ за счет shell-кода, добавленного в конец.

В процессе заражения создаются следующие файлы:

* %System%\oldwn.tmp (копия wininet.dll)
* %System%\oldws.tmp (копия ws2_32.dll)
* %System%\newwn.tmp (зараженная копия wininet.dll)
* %System%\newws.tmp (зараженная копия ws2_32.dll)
* %System%\winrc.tmp (копия wininet.dll)
* %System%\wsrec.tmp (копия ws2_32.dll)

В зараженной копии ws2_32.dll установлен патч для API-функции connect(), запрещающий подключаться к IP-адресу 216.143.70.75.

В зараженной копии wininet.dll установлен патч на API-функцию InternetConnectA(), запрещающий соединение со следующими доменными именами:

* avp.com
* kaspersky.com
* eset.com
* nod32.com
* eset.casablanca.cz
* casablanca.cz
* symantec.com
* norton.com
* mcafee.com
* metalhead2005.info
* my-etrust.com
* nai.com
* pla-update.nai.com
* networkassociates.com
* secure.nai.com
* sophos.com
* trendmicro.com
* viruslist.com
* www.ca.com
* microsoft.com
* my-etrust.com
* networkassociates.com
* sophos.com
* trendmicro.com
* viruslist.com
* d66.myleftnut.info
* f-secure.com
* liveupdate.symantecliveupdate.com

Через 24 часа после внедрения перезагружает компьютер.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Отключает доступ к сайтам обновлений антивирусных программ, модифицирует системные файлы, через 24 часа после внедрения в систему перезагружает компьютер.

источник: Symantec.com