Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпус по вирусам.


Компьютер для продвинутых пользователей
В этом выпуске:
Trojan-Downloader. Win32.ZombGet.02.c | Trojan-Dropper. Win32.Small.o | Trojan-Spy.Win32. Janet.420 | Trojan-Spy. Win32.Small.r | Trojan.Win32. KillFiles.lm | Trojan-Clicker.Win32. IntelliAdvert | Trojan-Spy.Win32. Luzia.ad | Email-Worm.Win32. Warezov.jv
Trojan-Downloader. Win32.ZombGet.02.c

Троянская программа, которая загружает файлы из интернета без ведома пользователя и запускает их на выполнение.
Программа является приложением Windows (PE EXE-файл). Имеет размер 4608 байт. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на C++.

Деструктивная активность
После запуска троянец производит чтение последних 250 байт своего тела. В них в зашифрованном виде расположена ссылка на файл для скачивания.
После расшифровки происходит скачивание файла по указанному адресу и сохранение его во временный каталог Windows под именем $fd$.exe:
%TEMP%\$fd$.exe
После этого происходит скрытый запуск загруженного файла на исполнение и завершение работы троянца.

Другие названия
Trojan-Downloader.Win32.ZombGet.02.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.ZombGet.02.c («Лаборатория Касперского»), Downloader-AA (McAfee), Download.Trojan (Symantec), Trojan.DownLoader (Doctor Web), Troj/WebDL (Sophos), TrojanDownloader:Win32/ZombGet.02.C (RAV), TROJ_ZOGET.02.C (Trend Micro), TR/ZombGet.02.C2 (H+BEDV), Downloader.Zomget (Grisoft), Trojan.Downloader.ZombGet.0.2.C (SOFTWIN), Trojan Horse.LC (Panda), Win32/TrojanDownloader.ZombGet.02.C (Eset)
Trojan-Dropper. Win32.Small.o

Trojan-Dropper.Win32.Small.o является семейством троянских программ, которые без ведома пользователя инсталлируют другие вредоносные программы на зараженном компьютере и запускают их на исполнение. Зараженные файлы представляют из себя приложение Windows (PE EXE-файл). Размер зараженных файлов значительно варьируется.
Более подробное описание одного из объектов данного семейства — result.exe (MD5: 67abb14646d81701af7d64721962dab8).
Является приложением Windows (PE EXE-файл). Имеет размер 402976 байт.

Деструктивная активность
После запуска троянец извлекает из своего тела во временную папку Windows четыре файла с временными именами:
* %Temp%\<временное_имя>.exe (17410 байт, детектируется Антивирусом Касперского как Trojan.Win32.OptixKill.20.a);
* %Temp%\<временное_имя>.jpg (9609 байт, чистый файл);
* %Temp%\<временное_имя>.exe (369990 байт, детектируется Антивирусом Касперского как Backdoor.Win32.SubSeven.21.b);
* %Temp%\<временное_имя>.vbs (741 байт, детектируется Антивирусом Касперского как Email-Worm.VBS.Spam.BRIEF).
После чего запускает их на выполнение.

Другие названия Trojan-Dropper.Win32.Small.o («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.o («Лаборатория Касперского»), MultiDropper-CE (McAfee), Backdoor.Optix (Symantec), Trojan.MulDrop.1284 (Doctor Web), Troj/Mdrop-CE (Sophos), TrojanDropper:Win32/Small.O (RAV), TROJ_SMALL9.O (Trend Micro), BDS/Optix.03.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Dropper.Small.BR (Grisoft), Trojan.Win32.Dropper.Small.O9.1 (SOFTWIN), Trojan.Dropper.B-2 (ClamAV), Trojan Horse (Panda), Win32/TrojanDropper.Small.o9 (Eset)
Trojan-Spy.Win32. Janet.420

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Является приложением Windows (PE EXE-файл). Имеет размер 427008 байт.

Инсталляция
При запуске программа копирует свой исполняемый файлы в системную папку Windows с именем:
%System%\win2k2.exe
Для автоматического запуска при следующем старте Windows троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%System%\win2k2.exe"

Деструктивная активность
При запуске троянец выполняет следующие действия:
* получает все сохраненные в системе пароли с помощью вызова недокументированной функции WNetEnumCachedPasswords;
* следит за нажатиями на клавиши в окнах, с которыми работает пользователь, а также получает текст, вводимый пользователем в полях ввода. Собранные данные записывает в файл отчета:
%WinDir%\winlog.dat
Отчет является HTML-документом, в который записываются заголовки окон, с которыми работал пользователь и последовательности нажатых в них клавиш.
* все собранные троянцем данные отсылаются на электронную почту злоумышленника:
*****web@gem.net.pk
В отчет также помещается IP-адрес зараженного компьютера.

Другие названия
Trojan-Spy.Win32.Janet.420 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Janet.420 («Лаборатория Касперского»), Keylog-JanNet (McAfee), Trojan Horse (Symantec), Trojan.Jannet.42 (Doctor Web), Troj/KeyJanet-A (Sophos), TrojanSpy:Win32/Janet.4_20 (RAV), TROJ_PSWJANET.42 (Trend Micro), TR/JanetSpy.420.C (H+BEDV), Win32:Trojan-gen. (ALWIL), Janet (Grisoft), Trojan.Spy.Janet.4.20 (SOFTWIN), Trj/Spy.Janet.420 (Panda), Win32/Spy.Janet.420.A (Eset)
Trojan-Spy. Win32.Small.r

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Имеет размер 12000 байт.

Деструктивная активность
Данный троянец предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троянец сохраняет в следующем файле: %WinDir%\sdsini.ini
Также троянец создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Fosrt]
[HKLM\Software\Microsoft\Upeir]

При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на электронный адрес злоумышленника: b***oks@yandex.ru.
Также троянец скачивает и запускает из интернета следующие файлы:
* http://ass.rompl.net/***/file.php***mstasks1.exe сохраняется в %System%\
mstasks1.exe
* http://ass.rompl.net/***/file.php***mstasks2.exe сохраняется в %System%\
mstasks2.exe
Троянец сохраняет данные, полученные от сервера, в результате обращения по адресу http://www.ip2location.com/***.asp в файл %System%\sastem.ing.
На момент создания описания данные ссылки не работали.

Другие названия
Trojan-Spy.Win32.Small.r («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.r («Лаборатория Касперского»), Spy-Tofger.gen.a (McAfee), Download.Trojan (Symantec), Trojan.Tofger.12000 (Doctor Web), PWS:Win32/Small (RAV), TROJ_TOPGER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Small.B (Grisoft), Trj/Tofger.T (Panda), Win32/Spy.Small.R (Eset)
Trojan.Win32. KillFiles.lm

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 368128 байт. Ничем не упакована. Написана на Borland Delphi.

Деструктивная активность
После запуска троянец удаляет файл autoexec.bat в корневом каталоге диска C:
C:\autoexec.bat
Далее троянец производит попытку удаления файла explorer.exe в каталоге Windows:
%WinDir%\explorer.exe

Trojan-Clicker.Win32. IntelliAdvert

Троянская программа, созданная для открытия в окне Internet Explorer интернет страницы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Упакована при помощи UPX. Размер упакованного исполняемого файла — около 170 КБ, распакованного — около 450 КБ.

Деструктивная активность
После запуска троянец копирует себя в файл в корневой каталог Windows:
%Windir%\Services32.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"System32"="%Windir%\Services32.exe NORMAL"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.
Троянец загружает страницу http://popup.intelliadvertising.com/***.
На момент создания описания по данному адресу никаких страниц размещено не было.

Другие названия
Trojan-Clicker.Win32.IntelliAdvert («Лаборатория Касперского») также известен как: Trojan.Adclicker (Symantec), Troj/TC-B (Sophos), TrojanClicker:Win32/IntelliAdvert (RAV), TROJ_ADCLICKER.A (Trend Micro), TR/Click.IntelliAdv (H+BEDV), Clicker.IntelliAdvert (SOFTWIN), Trojan Horse (Panda), Win32/TrojanClicker.IntelliAdvert.A (Eset)
Trojan-Spy.Win32. Luzia.ad

Троянская программа, которая осуществляет сбор информации на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 164864 байта. Упакована с помощью PECompact. Распакованный размер — около 680 КБ. Написана на C++.

Инсталляция
При запуске троянец копирует свой исполняемый файл в системную папку Windows:
%System%\winmgmt32.exe
Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winmgmt32.exe"="%System%\winmgmt32.exe"

Деструктивная активность
Троянец завершает работу следующих процессов:
accwiz32.exe
ahui32.exe
ahui32.exe
ashserven.exe
avgshserven.exe
bluetooth.exe
cmd32.exe
directsnd.exe
dxdiag32.exe
dxdiags.exe
dxdrv.exe
iexplorer.com
iexplorer.exe
msn_explorer.exe
msnscr.exe
spolsv.exe
spolsv.scr
svghosts.exe
system32.exe
terraxp.exe
winlogon32.exe
winmgmt.exe
winplay.exe
wscntfy.exe
wupdmgr32.exe

Троянец следит за клавиатурным вводом пользователя в окнах, список заголовков которых хранится внутри тела троянца в зашифрованном виде. Отчеты, содержащие последовательности нажимаемых пользователем клавиш, троянец сохраняет в папку %System%\winmgmt32 с именами вида: dmY-HMS, где dmY — дата создания файла отчета, HMS — время создания файла отчета.
Также троянец периодически делает скриншоты окон (с расширением .jpg), находящихся под курсором мыши и сохраняет их в папку:
%System%\winmgmt32
Далее троянец загружает все файлы, находящиеся в папке "%System%\winmgmt32" на FTP сервер злоумышленника:
Bonege***.serveftp.com

Email-Worm.Win32. Warezov.jv

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из интернета новейшие обновления червя с различных сайтов злоумышленника.

Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ. Инсталляция
При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:
%WinDir%\tpup.exe
Извлекает из своего тела файл e1.dll (размер 6144 байт):
%System%\e1.dll
Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tpup=%WinDir%\tpup.exe s
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

Распространение через email
Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.
Найденные адреса электронной почты сохраняются в файле:
%WinDir%\tpup.wax

Деструктивная активность
По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:
Тема письма выбирается из списка:
* Error
* Good Day
* hello
* Mail Delivery System
* Mail server report
* Mail Transaction Failed
* picture
* Server Report
* Status
* test
Текст письма выбирается из списка:
* Mail transaction failed. Partial message is available.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring.
Best regards, Customers support service
Имя файла вложения содержит следующие строки в своем имени:
* body
* data
* doc
* docs
* document
* file
* message
* readme
* test
* text
* Update-KB<случайные цифры>-x86
И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.
В процессе работы создает файлы:
%WinDir%\tpup.dat
%WinDir%\tpup.s
Компонент червя:
%System%\e1.dll
Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.
Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.
Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.

Деструктивная активность
После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\
AuthorizedApplications\List]

"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"
Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».
Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».
Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access
Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.
Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%\<имя текущего пользователя>\Application Data\BatMail
%Documents and Settings%\<имя текущего пользователя>\Application Data\The Bat!

А также в папках, на которые указывают параметры ключа реестра:
[HKCU\Software\RIT\The Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.
Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:
[HKCU\Software\Mirabilis\ICQ\NewOwners]
[HKLM\Software\Mirabilis\ICQ\NewOwners]

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:
[HKLM\Software\Miranda]
Install_Dir

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

и использует его для поиска файла andrq.ini.
Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
В реестре прочитывает содержимое файла users\global\profiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.
Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKLM\Software\Ghisler\Windows Commander]
[HKLM\Software\Ghisler\Total Commander]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
UninstallString
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander XP]
UninstallString
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache]
Totalcmd.exe
В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:
host
username
password
directory
method
Троянская программа получает путь к папке из следующего ключа реестра:
[HKCU\Software\RimArts\B2\Settings],
ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:
UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:
sm.dat
tree.dat
smdata.dat

Троянец получает значения параметров из файла %WinDir%\edialer.ini:
LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела
[HKCU\Software\Far\Plugins\FTP\Hosts]
В найденных ключах получает значения следующих параметров:
HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл \profile\wand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:
%Documents and Settings%\<имя пользователя>\Application Data\Opera
Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.
Троянец получает путь к программе QIP из ключа реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:
Password
NPass

Троянец читает содержимое файла
%Documents and Settings%\<имя пользователя>\Application Data\Thunderbird\Profiles.ini
и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.
Получает значения всех подключей ключа реестра:
[HKCU\Software\Mail.Ru\Agent\mra_logins]
Троянец читает из файла
%Documents and Settings%\<имя пользователя>\Application Data\Qualcomm\Eudora\Eudora.ini
следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCU\Software\Punto Switcher]
и читает содержимое файла "diary.dat".
Читает значения файла
%Documents and Settings%\<имя пользователя>\Application Data\.gaim\accounts.xml
Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:
[HKCU\Software\FileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.
Троянец похищает содержимое файлов:
%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat
,
а также таких файлов, как:
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Client 2.0\ Favorites\ Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\Favorites.dat
%Documents and Settings%\<имя пользователя>\Application Data\SmartFTP\History.dat

[HKCU\Software\CoffeeCup Software\Internet\Profiles]
Из подключей ключа данного реестра похищаются следующие значения:
HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Аналогично троянец поступает со значением параметра в ключе реестра
[HKCU\Software\Microsoft\Windows\ShellNoRoam]
rapget.exe,
используя его для поиска файлов:
rapget.ini
links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
%Documents and Settings%\<имя пользователя>\Мои документы
Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника spartak***@mail.ru.
Не забудьте проголосовать за выпуск!
Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можно найти: ICQ - 273214003

e-mail - isdmi1::mail.ru

В избранное