[ Новости из мира вирусов ]
>> [ Trojan-PSW.Win32. Fente.15 ]
Троянская программа, предназначенная для создания других троянцев, похищающих пароли. Является приложением Windows
(PE-EXE файл). Имеет размер 460228 байт.
Деструктивная активность
При запуске троянец отображает на экране свое главное окно.
В этом окне в поле ввода необходимо указать адрес для отправки отчетов троянца. При нажатии на левую кнопку конструктор
спросит пользователя, под каким именем следует сохранить сгенерированный вирус, после чего создаст троянца и запишет в
него введенный адрес электронной почты.
Размер созданного файла - 32968 байт. Упакован с помощью UPX, распакованный размер - около 70 КБ.
При запуске данный файл копирует себя в корневой каталог Windows под различными именами (с расширением .exe) и добавляет
ссылку на скопированный файл в параметр ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe <имя исполняемого файла трояна>"
Троянская программа сканирует существующие в системе окна и ищет в них поля для ввода паролей. Если находит, похищает
введенный в них текст.
Также троян собирает краткую информацию о системе: имя компьютера, имя работающего в данный момент пользователя,
тип процессора, количество свободной памяти и название операционной системы.
Собранные данные хранятся в файле отчета:
%WinDir%\userfile.dll
Содержимое данного файла периодически отсылает на заложенный внутрь с помощью конструктора адрес электронной почты.
Другие названия
Trojan-PSW.Win32.Fente.15 (<Лаборатория Касперского>) также известен как: Trojan.PSW.Fente.15
(<Лаборатория Касперского>), PWS-Fantast.d (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.15 (Doctor Web),
W32/Fanta-B (Sophos), Win32/Fanta.1_5@mm (RAV), TROJ_FANTA.A (Trend Micro), W32/Fanta.A (FRISK), Win32:Trojan-gen.
(ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.5.A@mm (SOFTWIN), Trojan Horse (Panda), Win32/Fanta.15 (Eset)
>> [ Trojan-PSW.Win32. Coced.219 ]
Программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной
информации. Является приложением Windows (PE-EXE файл). Имеет размер 11269 байт. Написана на Visual C++.
Инсталляция
После запуска троянец копирует свой исполняемый файл в системную папку Windows под именем:
%System%\msrun16.exe
Также извлекает из своего тела следующий файл:
%Temp%\Conf219.exe
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\Agent\Apps\ICQ]
"Enable" = "yes"
"Path" = "<путь к исполняемому файлу трояна>"
"Startup" = ""
"Parameters" = ""
[HKCU\Software\Mirabilis\ICQ\Agent]
"Launch Warning" = "No"
Похищает значения параметров подключей ключа реестра:
[HKCU\Software\Mirabilis\ICQ\Owners]
С помощью функции WNetEnumCachedPasswords данный вирус похищает сведения о существующих в системе модемных соединениях
для доступа к сети Интернет, а также пароли к ним. Собранные сведения отправляются на электронный адрес
злоумышленника - ***[email protected]. В качестве сервера для отправки исходящей почты используется mail.compuserve.com.
Другие названия
Trojan-PSW.Win32.Coced.219 (<Лаборатория Касперского>) также известен как: Trojan.PSW.Coced.219
(<Лаборатория Касперского>), PWS-AI.cfg (McAfee), Trojan Horse (Symantec), Trojan.PWS.Coced.219 (Doctor Web),
Troj/Coced (Sophos), PWS:Coced (RAV), TROJ_COCED.219 (Trend Micro), TR/PSW.Coced.220 (H+BEDV), Win95:RedPower (ALWIL),
Trojan.Naebi.2.1.9 (SOFTWIN), Trojan.Coced.Family.A (ClamAV), Trj/PSW.Coced.219 (Panda), Naebi.2_19.Config (Eset)
>> [ Trojan-Clicker. Win32.Small.ae ]
Троянская программа, созданная для открытия в окне Internet Explorer интернет-страницы без ведома пользователя.
Является приложением Windows (PE-EXE файл). Имеет размер 43488 байт.
Деструктивная активность
После запуска троянец отображает всплывающее окно веб-браузера и открывает в нем следующий URL:
http://www.captaincookscasino.com/default.asp***
Другие названия
Trojan-Clicker.Win32.Small.ae (<Лаборатория Касперского>) также известен как: TrojanClicker.Win32.Small.ae
(<Лаборатория Касперского>), Downloader-MF (McAfee), Trojan.Adclicker (Symantec), TROJ_MF.A (Trend Micro),
Trojan.Clicker.Small-2 (ClamAV), NewHeur_PE (Eset)
>> [ Trojan-Spy.Win32. KeyLogger.ab ]
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE EXE-файл).
Имеет размер около 30 КБ. Упакована ASPack. Размер распакованного файла - около 60 КБ. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи
автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Graphdics" = "<путь до файла троянца>"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Grgaphics" = "<путь до файла троянца>"
Деструктивная активность
После запуска программа следит за вводимой с клавиатуры информацией в окнах, с которыми работает пользователь.
Собранные данные помещаются в файл отчета:
C:\Windows\Files.log
Данный файл троянец отсылает на электронную почту злоумышленника:
***[email protected]
Другие названия
Trojan-Spy.Win32.KeyLogger.ab (<Лаборатория Касперского>) также известен как: TrojanSpy.Win32.KeyLogger.ab
(<Лаборатория Касперского>), Malware.d (McAfee), Keylogger.Trojan (Symantec), Troj/Keylogr-Z (Sophos),
TROJ_KEYLOGGER.A (Trend Micro)
>> [ Trojan-Downloader. Win32.IstBar.ay ]
Троянская программа, которая скачивает файлы без ведома пользователя. Является библиотекой Windows (PE DLL-файл).
Имеет размер 17920 байт. Упакована с помощью UPX, распакованный размер - 40960 байт.
Инсталляция
При регистрации библиотека устанавливает себя в систему как Browser Helper Object, при этом создаются следующие
ключи реестра:
[HKCR\SearchWord.ExcelExport.1]
[HKCR\SearchWord.ExcelExport]
[HKCR\CLSID\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972}]
[HKCR\TypeLib\{FB19BC08-E664-462C-909B-3E9C3F4FF90E}]
[HKCR\Interface\{212552CF-D5B0-49F0-961D-95CA146CDE03}]
Также троянец создает ключ реестра, в котором хранит свои настройки:
[HKCU\Software\Microsoft\IEAK]
Деструктивная активность
Троянская программа скачивает файлы во временную папку с одного из следующих адресов:
http://**clickaire.com/
http://**clickaire.com/
http://**-host.com/
После успешной загрузки вирус запускает файлы на исполнение.
Другие названия
Trojan-Downloader.Win32.IstBar.ay (<Лаборатория Касперского>) также известен как: TrojanDownloader.Win32.IstBar.ay
(<Лаборатория Касперского>), Trojan.Digits (Symantec), Trojan.Isbar (Doctor Web), TrojanDownloader:Win32/Istbar.E (RAV),
TROJ_ISTBAR.M (Trend Micro), TR/Dldr.IstBar.AY (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Istbar.BV (Grisoft),
Trojan.Downloader.ISTBar.BE (SOFTWIN), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.AY (Eset)
>> [ Trojan-Spy. Win32.MegaHard ]
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл).
Имеет размер 217088 байт.
Деструктивная активность
После запуска троянец следит за вводимой с клавиатуры информацией в окнах программ, где работает пользователь.
Собранные данные помещаются в файл отчета, который хранится в рабочей папке вируса, имеющей имя "mshosts.dll".
В указанный файл отчета троян прописывает заголовки окон, с которыми работал пользователь, а также последовательности
символов, веденных с клавиатуры.
Другие названия
Trojan-Spy.Win32.MegaHard (<Лаборатория Касперского>) также известен как: TrojanSpy.Win32.MegaHard
(<Лаборатория Касперского>), Keylog-Megahard (McAfee), Keylogger.Trojan (Symantec), Troj/Spyghost-A (Sophos),
TrojanSpy:Win32/MegaHard (RAV), TROJ_MEGAHARD.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Megahard.A
(SOFTWIN), Trojan Horse (Panda), Win32/Spy.MegaHard (Eset)
>> [ Trojan-PSW. Win32.Fente.14 ]
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл).
Размер различных модификаций варьируется в пределах от 47 до 215 КБ. Упакована с помощью UPX.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\dfhjl.exe
%System%\IKMOQ.exe
Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои
исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shel" l= "Explorer.exe dfhjl.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv_" = "%System%\IKMOQ.exe"
Также троянец задает следующие параметры в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"windows32_" = "%System32%\MOQSU.dll"
"system_" = "%System32%\IKMOQ.exe"
"userfile_" = "dfhjl.exe"
Деструктивная активность
Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события
перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.
Ещё троянец собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора,
количество свободной памяти и название операционной системы.
Собранные данные отправляются на электронную почту злоумышленника.
Другие названия
Trojan-PSW.Win32.Fente.14 (<Лаборатория Касперского>) также известен как: Trojan.PSW.Fente.14
(<Лаборатория Касперского>), PWS-Fantast.c (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.14 (Doctor Web),
W32/Fanta-A (Sophos), Win32/Fanat.1_4@mm (RAV), TROJ_FANTAST.14 (Trend Micro), Win32:Trojan-gen. (ALWIL),
I-Worm/Fanta (Grisoft), Win32.Fanat.1.4.A@mm (SOFTWIN), Worm Generic (Panda), Win32/Fanta.C (Eset)
>> [ Trojan-Dropper. Win32.Small.at ]
Троянская программа, которая устанавливает и запускает на исполнение другие вредоносные программы на компьютере
пользователя без ведома последнего. Является приложением Windows (PE-EXE файл). Имеет размер 665120 байт.
Деструктивная активность
При запуске троянец извлекает из своего тела во временную папку Windows и запускает следующие файлы:
* %Temp%\~1.exe - имеет размер 18163 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Fearless.10
* %Temp%\~2.exe - имеет размер 68180 байт, детектируется Антивирусом Касперского как Backdoor.Win32.Beastdoor.192.h
* %Temp%\~3.exe - имеет размер 573952 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Wmbug.101
Другие названия
Trojan-Dropper.Win32.Small.at (<Лаборатория Касперского>) также известен как: TrojanDropper.Win32.Small.at
(<Лаборатория Касперского>), Trojan dropper (Symantec), Trojan.Flobinder (Doctor Web), TROJ_SMALL.AT (Trend Micro),
Win32:Trojan-gen. (ALWIL), Dropper.VB.CD (Grisoft)
>> [ VirTool. MSWord.TBJG ]
Программа является документом MSWord (DOC-файл). Имеет размер 33792 байта. Написана на макроязыке MSWord.
Деструктивная активность
Программа может использоваться как компонент других макро-вирусов. Реализует функции шифрования строковых выражений
произвольным ключом.
Другие названия
VirTool.MSWord.TBJG (<Лаборатория Касперского>) также известен как: VirTool.Macro.Word97.TBJG (<Лаборатория Касперского>)
>> [ Trojan.JS. WindowBomb.a ]
Троянская программа. Написана на языке JavaScript. Является документом HTML. Размер зараженных файлов существенно
варьируется.
Деструктивная активность
При загрузке страницы браузер автоматически начинает открывать бесконечное количество пустых окон, что приводит к
нарушению работы компьютера.
Другие названия
Trojan.JS.WindowBomb.a (<Лаборатория Касперского>) также известен как: JS/Winbomb (McAfee), JS.WindowBomb (Symantec),
Trojan.Winbomb (Doctor Web), Troj/WinBomb-A (Sophos), JS/Winbomb.D* (RAV), JS_WINDOWBOMB.A (Trend Micro),
TR/WinBomb.Crash (H+BEDV), JS/WinBomb.K (FRISK), VBS:Malware (ALWIL), JS.Trojan.Winbomb.D (SOFTWIN),
JS/Trj.WindowBomb (Panda), JS/WindowBomb.A (Eset)
>> [ Trojan-Spy. Win32.KeyHunter ]
Троянская программа-шпион. Предназначена для кражи различной конфиденциальной информации. Перехватывает ввод символов
с клавиатуры и операции с курсором мыши. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт.
Упакована с помощью UPX, распакованный размер - около 15 КБ.
Инсталляция
Для автоматического запуска при каждом последующем старте Windows троянец добавляет ссылку на свой исполняемый файл в
ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"@" = "<путь и имя исполняемого файла троянца>"
Деструктивная активность
Троянская программа устанавливает перехватчик событий клавиатуры, с помощью которого следит за клавиатурным вводом в
окнах программ, где работает пользователь. Собранные данные сохраняются в файл отчета, который помещается в рабочую
папку вируса с тем же именем, что и его исполняемый файл (имеющий расширение .DLL).
В отчет троянец помещает также заголовки окон, с которыми работал пользователь, и последовательности введенных с
клавиатуры символов.
Созданный файл отчета троянец периодически загружает на FTP-сервер.
Другие названия
Trojan-Spy.Win32.KeyHunter (<Лаборатория Касперского>) также известен как: TrojanSpy.Win32.KeyHunter
(<Лаборатория Касперского>), Keylogger.Trojan (Symantec), Trojan.KeyHunt (Doctor Web), TrojanSpy:Win32/KeyHunter
(RAV), TROJ_KEYHUNTER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.PWS.Keyhunter.A (SOFTWIN), Trojan Horse.LC
(Panda), Win32/Spy.KeyHunter.A (Eset)
>> [ Trojan-PSW. Win32.Fantast.30 ]
Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл).
Имеет размер около 40 КБ. Ничем не упакована.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\winns.exe
%System%\sys.exe
Для автоматической загрузки при каждом последующем старте Windows троянская программа добавляет ссылку на свои
исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe winns.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgserv16_" = "%System%\sys.exe"
Деструктивная активность
Используя внешний компонент %WinDir%\wins.dll, троянец устанавливает на клавиатурные события перехватчики, с
помощью которых следит за данными, вводимыми с клавиатуры в окнах, где работает пользователь. Собранные данные
помещаются в файл отчета:
%WinDir%\userfile.dll
Туда же поступает краткая информация о системе: имя компьютера, имя работающего в данный момент пользователя, тип
процессора, количество свободной памяти, называние операционной системы.
Кроме того, троянец сканирует систему в поисках окон, предназначенных для ввода паролей, и похищает заносимый в них текст.
Похищенные сведения вредоносная программа отправляет на электронную почту злоумышленнику по адресу firewall****@21cn.com.
Другие названия
Trojan-PSW.Win32.Fantast.30 (<Лаборатория Касперского>) также известен как: Trojan.PSW.Fantast.30
(<Лаборатория Касперского>), PWS-Fantast.a (McAfee), Backdoor.Trojan (Symantec), Win32.HLLM.Fantast.30
(Doctor Web), Troj/Fantast (Sophos), PWS:Win32/Fantast.3_0 (RAV), TROJ_FANTAST.30 (Trend Micro), TR/Fantast.30
(H+BEDV), Win32:Fantast-B (ALWIL), Trojan.PSW.Fantast.30 (SOFTWIN), Trojan Horse (Panda), Win32/PSW.Fantast.30 (Eset)
>> [ Backdoor.Win32. Hupigon.cpu ]
Бекдор, выполняющий деструктивные действия на компьютере пользователя. Программа является приложением Windows
(PE EXE-файл). Имеет размер около 730 КБ. Написана на Borland Delphi.
Инсталляция
Функционал вредоносной программы зависит от опций, заданных при её генерации.
После запуска троянец производит сравнение своего имени со строкой "IEXPLORE.EXE". Если вредоносный код не расположен
внутри зараженного процесса, то выполняются следующие действия.
Бекдор получает букву логического диска (%SysChar%), на котором расположен системный каталог Windows. Используя
эту букву, троян формирует такую строку:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Далее производится сравнение имени запущенной программы с данной строкой.
Если имена не совпали, происходит инсталляция вредоносной программы в систему; в противном случае бекдор переходит к
деструктивной деятельности.
Процесс инсталляции заключается в следующем. Создается копия файла вредоносной программы с именем "Ahntdce.exe" в папке
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Если такой файл уже существует, то перед копированием он удаляется. Скопированному файлу устанавливаются файловые
атрибуты "только чтение" и "системный".
После этого производится проверка семейства, к которому относится текущая ОС, что определяет метод регистрации
автозапуска копии вредоносной программы.
Для семейства Windows NT выполняется создание системной службы, которая видна в списке служб под именем
"AhnLab Tdce Scheduler"
Запускается автоматически вместе с системой и является интерактивной службой.
Для семейства Windows 9X выполняется регистрация автозапуска в реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Ahntdce.exe" = "%SysChar%:\Program Files\Common Files\
Microsoft Shared\MSINFO\Ahntdce.exe"
Далее (независимо от типа ОС) происходит запуск копии вредоносной программы.
Затем в каталоге с копией бекдора создается и запускается пакетный файл командного интерпретатора с именем
"Delet.bat", выполняющий удаление оригинального файла вируса и самого себя:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Delet.bat
Деструктивная активность
Если вредоносная программа обнаружила, что она является установленной копией, производится вызов браузера
Internet Explorer:
%SysChar%:\Program Files\Internet Explorer\IEXPLORE.EXE
Выполняется считывание в память вирусного файла, его корректировка и внедрение в процесс "IEXPLORE.EXE" целиком.
После чего бекдор проверяет наличие сети, и если она доступна, производит анализ Internet-адреса, заданного в коде
вредоносной программы. Если это ссылка на файл, то происходит его чтение и получение строки, в которой будут
находиться имя сервера и порт. Либо имя сервера и порт могут быть заданы изначально. В данном случае это:
sx.code***.org:8080
Далее устанавливается соединение с этим удаленным сервером.
Бекдор осуществляет формирование строки, содержащей информацию о компьютере пользователя:
%SomeString1%%IsCaptureDriver%%ComputerName%
%DefaultNetworkPassword%%OsName%%CpuSpeed% MHz
%MemorySize%MB%SomeString2%%SomeString3%
Строка эта зашифровывается и отправляется на удаленный сервер.
После создается поток, в котором происходит прослушивание команд, поступающих с сервера.
Вредоносной программой может быть устанавлен перехват оконных сообщений для ведения клавиатурного лога,
создание снимков экрана.
Бекдор может изменять домашнюю страницу браузера:
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"
Есть опасность того, что троянец разрешит запуск терминалов для получения удаленного доступа компьютеру пользователя:
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0x00000000
Также Backdoor.Win32.Hupigon.cpu имеет возможность получать список процессов, завершать выбранный процесс,
производить поиск файлов, получать список файлов и передавать указанные файлы, создавать и удалять указанные файлы,
загружать дополнительные модули и работать с ними и многое другое.
>> [ Trojan-Clicker. Win32.Mobs ]
Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл).
Имеет размер 26 624 байта. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\service.exe
Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый
файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MyApp" = "%System%\service.exe"
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
* [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKCU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115- 1003\.DEFAULT\
Software\ Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
* [HKEY_USERS\S-1-5-21-606747145-1060284298-839522115-1003\Software\
Microsoft\Internet Explorer\Main]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
* http://www.countering.de/***2000/click.exe?a200639+1
* http://213.221.***.59/in.php?id=Daniel20gera
* http://213.221.***.42/rankem.cgi?id=daniel20
* http://520009810531-****.bei.t-online.de/index.htm
* http://www.countering.de/***2000/counter.exe?a200639+1
На момент создания описания данные ссылки не работали.
Другие названия
Trojan-Clicker.Win32.Mobs (<Лаборатория Касперского>) также известен как: TrojanClicker.Win32.Mobs
(<Лаборатория Касперского>), Generic FDoS.b (McAfee), Hacktool.Flooder (Symantec), Trojan.SMSBomb.26624
(Doctor Web), Troj/Mobs (Sophos), TrojanClicker:Win32/Mobs (RAV), TROJ_MOBS.A (Trend Micro), BDS/Bomber.Srv
(H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Clicker.Mobs (SOFTWIN), Trj/W32.Clicker.B (Panda),
Win32/TrojanClicker.Mobs.A (Eset)
>> [ Email-Worm. Win32.Zhelatin.o ]
Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма
рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.
Инсталляция
При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe:
%System%\alsys.exe
Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.
После чего червь создает следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
То есть при каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает следующие файлы в системном каталоге Windows:
%System%\wincom32.ini
%System%\wincom32.sys
Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/
Internet Connection Sharing (ICS):
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"
Распространение через email
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска
компьютера начиная с последнего.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Письма не отсылаются на адреса, содержащие в своем адресе следующие строки:
microsoft
.gov
.mil
Характеристики зараженных писем
Имя отправителя
Выбирается из списка:
* Anita
* April
* Ara
* Aretina
* Amorita
* Alysia
* Aldora
* Barbra
* Becky
* Bella
* Briana
* Bridget
* Blenda
* Bettina
* Caitlin
* Chelsea
* Clarissa
* Carmen
* Carla
* Cara
* Camille
* Damita
* Daria
* Danielle
* Diana
* Doris
* Dora
* Donna
* Ebony
* Eden
* Eliza
* Erika
* Eve
* Evelyn
* Emily
* Faith
* Gale
* Gilda
* Gloria
* Haley
* Holly
* Helga
* Ivory
* Ivana
* Iris
* Isabel
* Idona
* Ida
* Julie
* Juliet
* Joanna
* Jewel
* Janet
* Katrina
* Kacey
* Kali
* Kyle
* Kassia
* Kara
* Lara
* Laura
* Lynn
* Lolita
* Lisa
* Linda
* Myra
* Mimi
* Melody
* Mary
* Maia
* Nadia
* Nova
* Nina
* Nora
* Natalie
* Naomi
* Nicole
* Olga
* Olivia
* Pamela
* Peggy
* Queen
* Rachel
* Rae
* Rita
* Ruby
* Rosa
* Silver
* Sharon
* Uma
* Ula
* Valda
* Vanessa
* Valora
* Violet
* Vivian
* Vicky
* Wendy
* Willa
* Xandra
* Xylia
* Xenia
* Zilya
* Zoe
* Zenia
Тема письма
Выбирается из списка:
* 5 Reasons I Love You
* A Bouquet of Love
* A Day in Bed Coupon
* A Hug & Roses
* A Kiss for You
* A Kiss So Gentle
* A Little (sex) Card
* A Monkey Rose for You
* A Red Hot Kiss
* A Relaxing Coupon
* A Romantic Place
* A Song to You
* A Special Flower for You
* A Special Kiss
* A Sweet Love
* A Token of My Love
* A Weekend Getaway
* Against All Odds
* All For You
* All That Matters
* Angel of Love
* Awaiting Your Love
* Baby, I'll Be There
* Back Together
* Between Us
* Bewitching Moonlight
* Brand New Love
* Breakfast in Bed Coupon
* Bubble Bath Coupon
* Can't Wait to See You!
* Crazy way to say I Luv U
* Cuddle Me Please
* Cuddle Up
* Cyber Love
* Dancing With You
* Dinner Coupon
* Doing It for You
* Dream Date Coupon
* Dream Girl
* Emptiness Inside Me
* Eternity of Your Love
* Evening Romance
* Every Inch of Your Body
* Everyone Needs Someone
* Falling In Love with You
* Feeling Horny?
* Fields Of Love
* For Better of For Worse
* For You
* For You....My Love
* Forever and Ever
* Forever in Love
* From this day forward
* Full Heart
* Hand in Hand
* Hand in Hand
* He Blessed Our Lives
* Heart is Breaking
* Heart of Mine
* Hey Cutie
* Hold Me (distant love)
* Hold On
* How Much I Love You
* Hugging My Pillow
* I Always Knew
* I am Complete
* I Am Lost In You
* I Believe
* I Can't Function
* I Dream of you
* I Give to You
* I Love Thee
* I Love Thee
* I Love You Mower
* I Love You So
* I Love You Soo Much
* I Love You with All I Am
* I Still Love You
* I Think of You
* I Win with You
* I wish
* I Woof You
* I Would Do Anything
* I Would Give you Anything
* If I Could
* If I Knew
* I'll Be Your Man
* In Love
* In My Heart
* Inside My Heart
* Internet Love
* It's Your Move
* Just You
* Just You & Me
* Kiss Coupon
* Kisses, Hugs & Roses
* Last Night was Hot!
* Let's Get Frisky
* Live With Me
* Longing for You
* Love at First Sight
* Love Birds
* Love for Granted
* Love is in the Air
* Love Remains
* Love You Deeply
* Made for Each Other Brand New Love
* Magic of Flowers
* Massage Coupon
* Memories
* Miracle of Love
* Miracle of Love
* Moonlit Waterfall
* Most Beautiful Girl
* My Eye on You
* My Heart belongs to you
* My Heart is Thinking
* My Invitation
* My Love
* My Perfect Love
* Now and Forever
* Now I Know
* Old Together
* Only You
* Our Love
* Our Love Everyday
* Our Love is Free
* Our Love is Strong
* Our love is torn by miles
* Our Love Nest
* Our Love Will Last
* Our Two Hearts
* Our Wedding Day
* P.M.S
* Passionate Kiss
* Peek-A-Boo
* Pockets of Love
* Puppy Love
* Red Rose
* Romantic Picnic Coupon
* Rose for my Love
* Safe and Sound
* Safe With You
* Search for One
* Sending Kiss
* Sending You My Love
* Sending You My Love
* Showers Of Love
* So in Love
* So in Love
* So Unique
* Solitary Beauty
* Someone at Last
* Soul Mates
* Soul Partners
* Steamy Dream
* Steamy Sex Coupon
* Summer Love
* Take My Hand
* Teddy Bear & Roses
* Tender Whispers
* Thanks...Love
* That Special Love
* The Candle's Light
* The Dance of Love
* The Kiss
* The Letter
* The Long Haul
* The Love Bugs
* The Miracle of Love
* The Mood for Love
* The Mood for Love
* The Sweet Taste of Love
* The Time for Love
* Thinking about you
* Thinking of You
* This Day Forward
* This Feeling
* Til the End of Time
* Till Morning's Light
* Till Morninig's Light
* Times Are Hard, I Luv U
* To New Spouse
* Together Again
* Together You and I
* Touched by Love
* True Love
* Trunk Full Of Love
* Twice Blest
* Twilight Paradise
* Two of a Kind
* Unique Love
* Unmatchable Beauty
* Until the Day
* Vacation Love
* Waiting for You
* Want to Meet?
* Want You to Know
* We Are Different
* We Have Walked
* We're a Perfect Fit
* When I look at you
* When I'm With You
* When I'm With You
* When You Fall in Love
* Why I Love You
* Wild Nights--Wild Nights
* Will You?
* Window of Beauty
* Wine and Roses
* Wish I Could Tell You
* Wish Upon a Star
* With All My Love
* With All of My Heart
* With This Ring
* Without Your Love
* Won't you dance with me
* Words I Write
* Worthy of You
* Wrapped in Your Arms
* Wrapped Up
* You + Me
* You and I
* You and I Forever
* You Are My Guiding Star
* You are out of this world
* You Asked Me Why
* You Brighten My Day
* You Lucky Duck!
* You Rock Me!
* You Were Worth the Wait
* Your Love Has Opened
* Your Silly Smile
* You're My Hero
* You're so Far Away
* You're Soo kissable
* You're the One
Имя файла вложения
Выбирается из списка:
* flash postcard.exe
* Flash Postcard.exe
* Greeting Card.exe
* greeting card.exe
* Greeting Postcard.exe
* greeting postcard.exe
* Postcard.exe
* postcard.exe
Деструктивная активность
Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea
Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в
системном реестре.
>> [ Trojan.JS. ExitW.b ]
Троянская программа. Является сценарием JavaScript. Содержится в WEB-страницах. Имеет размер 1 476 байт.
Деструктивная активность
Троянец, используя объект "ScriptletTypeLib", создает файл, запускаемый при загрузке Windows:
%WinDir%\Start Menu\Programs\StartUp\winmem.hta
Данный файл содержит команду завершения работы Windows.
Другие названия
Trojan.JS.ExitW.b (<Лаборатория Касперского>) также известен как: JS/Wipe (McAfee), JS.HTADropper (Symantec),
Troj/ObjectID-A (Sophos), JS/RunScript.dr.gen* (RAV), JS_EXITW.A.DR (Trend Micro), JSc/ExitW.B1 (H+BEDV),
VBS/WSRunner.E (FRISK), VBS:Malware (ALWIL), JS.Trojan.ExitW.B (SOFTWIN), JScr.ExitW.B1 (ClamAV), JS/Trojan.ExitW.B
(Panda), JS/ExitW.B (Eset)
>> [ Trojan.JS. Wincrash.d ]
Троянская программа. Является сценарием JavaScript. Содержится в WEB-страницах. Имеет размер 1 335 байт.
Деструктивная активность
После запуска троянец 1000 раз записывает в текущий документ строку "'+'с'Й'ї'н". Затем открывает в отдельном окне
браузера файлы:
/adm/popup/roadmap.shtml?текущее_время
crasher.htm
Другие названия
Trojan.JS.Wincrash.d (<Лаборатория Касперского>) также известен как: JS/Crasher (McAfee), Trojan Horse (Symantec),
Trojan.WinCrash (Doctor Web), Troj/Wincrash-D (Sophos), JS/Wincrash.D* (RAV), JS_CRASHER.A (Trend Micro),
JSc/Wincrash.D (H+BEDV), JS/Crasher.A (FRISK), JS.Trojan.WinCrash.D (SOFTWIN), JScr.Wincrash.D (ClamAV),
Trojan Horse (Panda), JS/Wincrash.B (Eset)
>> [ Trojan-Downloader. JS.Psyme.bs ]
Троянская программа-загрузчик. Написана на JavaScript. Содержится в Веб-страницах или скомпилированных CHM-файлах.
Деструктивная активность
При открытии вредоносной страницы троянец, используя ActiveXObject "Microsoft.XMLHTTP", скачивает с сайта
http://.www****t2.com/files/ файл eied_s7_cust.cab и сохраняет его в файл C:\eied_s7.cab, который затем загружается в
iFrame на этой же странице.
>> [ Trojan.JS. Wipe ]
Данная программа представляет собой вредоносный сценарий JavaScript. Содержится в WEB-страницах. Имеет размер 5 021 байт.
Деструктивная активность
Троянец содержит строку с кодами символов, которая после запуска файла записывается в отображаемую браузером страницу с
помощью метода document.write. Таким образом, троянская программа запускает на исполнение свою закодированную часть,
содержащую эксплоит Exploit.HTML.SecurityBreach.3. Данный эксплоит используется для удаления через объект
Microsoft Scriptlet Library содержимого следующих файлов:
C:\Windows\system.ini
C:\Windows\win.ini
C:\Windows\rundll32.exe
C:\Windows\rundll.exe
C:\Windows\command.com
C:\command.com
C:\Windows\regedit.exe
C:\Windows\regsvr32.exe
Другие названия
Trojan.JS.Wipe (<Лаборатория Касперского>) также известен как: JS/Wipe (McAfee), Trojan.JS.Wipe (Symantec),
JS.Wipe (Doctor Web), Junk/JSFox (Sophos), JS/Wipe.A* (RAV), JS_FUXORED.A (Trend Micro), JS/Fox (H+BEDV),
JS/Fox.C (FRISK), VBS:Malware (ALWIL), JS.Nasty.A (SOFTWIN), JS.Fox (ClamAV), JS/Fox.A (Panda), JS/SecurityBreach (Eset)
>> [ VirTool.MSWord. UMPE ]
Программа является документом MSWord (DOC-файл). Имеет размер 27 648 байт. Написана на макроязыке MSWord.
Деструктивная активность
Является модификацией VirTool.MSWord.UMP. Функция данного макроса состоит в замусоривании исходного кода комментариями.
Может использоваться в других макро-вирусах.
Другие названия
VirTool.MSWord.UMPE (<Лаборатория Касперского>) также известен как: VirTool.Macro.Word97.UMPE
(<Лаборатория Касперского>), W97M/Ump.Kit.c (McAfee), W97M.Ump (Doctor Web), WM97/Umpe (Sophos), W97M/UMP.B (RAV),
W97M_UMP.C (Trend Micro), W97M/UMP.C (H+BEDV), W97M/UMP.C (FRISK), MW97:UMP (ALWIL), W97M/Ump (Grisoft),
W97M.UMP.C (SOFTWIN), W97M/UMPE.B-Kit (Eset)
>> [ VirTool.MSWord. UMP ]
Программа является документом MSWord (DOC-файл). Имеет размер 27 136 байт. Написана на макроязыке MSWord.
Деструктивная активность
Данная вредоносная программа вставляет Trash-код в исходный код другого макро-вируса. Может использоваться в других
макросах.
Другие названия
VirTool.MSWord.UMP (<Лаборатория Касперского>) также известен как: VirTool.Macro.Word97.UMP
(<Лаборатория Касперского>), W97M/Ump.Kit.a (McAfee), W97M.Ump (Doctor Web), WM97/Ump Kit (Sophos), W97M/UMP.Kit
(RAV), W97M_UMP (Trend Micro), W97M/UMP.A (H+BEDV), W97M/UMP.A (FRISK), MW97:UMP (ALWIL), W97M/Ump (Grisoft),
W97M.Ump.A (SOFTWIN), W97M.UMP.A (ClamAV), W97M/UMP-Kit (Eset)
>> [ Trojan-Downloader. Win32.Small.dam ]
Троянская программа, которая осуществляет загрузку из Интернета и запуск на компьютере пользователя других вредоносных
программ. Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов существенно варьируется.
Первоначально данный троянец был распространен при помощи спам-рассылки.
Характеристики зараженных писем
Тема письма.
Выбирается произвольным образом из списка:
* A killer at 11, he's free at 21 and kill again!
* U.S. Secretary of State Condoleezza Rice has kicked
German Chancellor Angela Merkel
* British Muslims Genocide
* Naked teens attack home director
* 230 dead as storm batters Europe
* Re: Your text
* Radical Muslim drinking enemies's blood
* Chinese missile shot down Russian satellite
*
* Chinese missile shot down USA aircraft
* Chinese missile shot down USA satellite
* Russian missile shot down USA aircraft
* Russian missile shot down USA satellite
* Russian missile shot down Chinese aircraft
* Russian missile shot down Chinese satellite
* Saddam Hussein safe and sound!
* Saddam Hussein alive!
* Venezuelan leader: "Let's the War beginning"
* Fidel Castro dead.
Имя файла вложения.
Выбирается произвольным образом из списка:
* FullVideo.exe
* Full Story.exe
* Video.exe
* Read More.exe
* FullClip.exe
* GreetingPostcard.exe
* MoreHere.exe
* FlashPostcard.exe
* GreetingCard.exe
* ClickHere.exe
* ReadMore.exe
* FlashPostcard.exe
* FullNews.exe
Инсталляция
После запуска троянская программа создает следующие файлы в системном каталоге Windows:
* %System%\peers.ini
* %System%\wincom32.sys - детектируется Антивирусом Касперского
как Rootkit.Win32.Agent.dh, размер - 41 728 байт
Троянец регистрирует свои файлы в следующих ключах системного реестра:
[HKLM\System\CurrentControlSet\Services\wincom32]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_WINCOM32]
Деструктивная активность
Троянец пытается загрузить из интернета другие файлы и запустить их на компьютере пользователя.
По содержащимся в теле троянца ссылкам злоумышленники могут разместить любые другие вредоносные программы.
>> [ Trojan. Mdropper.X ]
Trojan.Mdropper.X - червь, пытающийся эксплуатировать неизвестную ранее уязвимость в Microsoft Word и установить
другое злонамеренное ПО на уязвимую систему.
При открытии специально обработанного DOC документа, Троян выполняет следующие действия:
1. Эксплуатирует эксплуатировать неизвестную ранее уязвимость в Microsoft Word, создавая следующие файлы:
C:\~.exe
C:\$
%Temp%\[VARIABLE NAME].exe
%Temp%\[VARIABLE NAME].doc - clean Word document
%System%\[RANDOM NAME].exe
2. Созданные файлы могут принадлежать различным типам злонамеренных программ.
