Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпус по вирусам.


Компьютер для продвинутых пользователей
В этом выпуске:
Trojan.JS.WindowBomb.b | Trojan.Win32.VB.ami | Trojan-Downloader Win32.Nurech.l
Trojan.JS.WindowBomb.b

Троянская программа. Написана на языке JavаScript. Является документом HTML. Имеет размер 312 байт.

При загрузке страницы, браузер автоматически начинает открывать бесконечное количество окон, пытающихся загрузить локальный ресурс die.htm, что приводит к нарушению работы компьютера.

Другие названия:
Trojan.JS.WindowBomb.b («Лаборатория Касперского») также известен как: JS/Winbomb (McAfee), Trojan Horse (Symantec), Trojan.Winbomb (Doctor Web), JS/Winbomb.B* (RAV), JS_WINBOMB.B (Trend Micro), JS/WinBomb.J (FRISK), VBS:Malware (ALWIL), JS.Winbomb.B (SOFTWIN), JS.TailTap.WindowBomb.B (ClamAV), Trojan Horse (Panda), JS/WindowBomb.B (Eset)
Trojan.Win32.VB.ami

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на Visual Basic.

После запуска троянец посылает следующий HTTP-запрос:
http://wwww.ne***.com/rankboost.php?0
Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса:
В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:
http://www.bit***.com
http://www.xit***.com

При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.
Trojan-Downloader Win32.Nurech.l

Троянская программа, которая осуществляет загрузку из интернета и запуск на компьютере пользователя других вредоносных программ. Программа является приложением Windows (PE EXE-файл). Имеет размер 5554 байта. Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана на C++.

Первоначально данный троянец был разослан при помощи спам рассылки.
После запуска троянец производит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть «H» или «h»). В случае анализируемого объекта это следующие ссылки:
http://marina.users.*************.com/1/1.exe — детектируется Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта;
http://marina.users.*************.com/1/zupacha.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт;
http://marina.users.*************.com/1/chii.exe — детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт.
Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).
После загрузки каждого из файлов происходит их последующий запуск на исполнение.
Не забудьте проголосовать за выпуск!
Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можно найти: ICQ - 273214003

e-mail - isdmi1::mail.ru

В избранное