Троянская программа, выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта. 

Инсталляция

Троянец копирует свой исполняемый файл как:
%WinDir%\system\svhost.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

Деструктивная активность

Троянец добавляет свой исполняемый файл в список доверенных приложений Windows Firewall. 

После чего запускает процесс "iexplore.exe" и внедряет в него свой код. 

Пытается завершить следующие процессы: 
avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe ... Читать дальше »

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 32768 байт. 

Деструктивная активность 

После запуска троянец собирает системную информацию с зараженного компьютера, а именно – серийный номер жесткого диска и сетевое имя компьютера. Затем, полученные данные, троянец использует при формировании ссылки, по которой будет производиться HTTP запрос:
http://af9f*****dcc.com/bt.php?mod=&id=<сетевое_имя_компьютера>_1084860184&up=9263620&mid=soboc40

По данной ссылке в каталог хранения временных файлов текущего пользователя загружается файл, который сохраняется под случайным именем:
%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность. 

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz. 

Зат ... Читать дальше »

Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++. 

Инсталляция

Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe": 
%System%\rs32net.exe

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра: 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "%System%\rs32net.exe"

После чего оригинальное тело троянца удаляется. 

В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "<путь_к_оригинальному_телу_троянца>"

Деструктивная активность

После запуска троянец запускает системный процесс:< ... Читать дальше »

Вредоносная программа. Является библиотекой Windows (PE DLL-файл). 

Инсталляция 

Копирует свой исполняемый файл в следующие папки со случайными именами вида:
%Program Files%\Internet Explorer\.dll
   

  %Program Files%\Windows Media Player\.dll
   

  %Program Files%\WindowsNT\.dll
   

  %Program Files%\Movie Maker\.dll
   

  %SpecialFolder%\.dll
   

  %System%\.dll
   

  %Temp%\.dll
   

   

где — случайная последовательность символов. 

Для автоматического запуска при следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "rundll32.exe <путь к файлу троянца>"
   

  

где — случайная последовательность символов. 

Также удаляет следующий ключ реестра с целью сдела ... Читать дальше »

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++. 

Инсталляция 

После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows: 
%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe 

Деструктивная активность 

После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%\\Application Data\svchosts.exe
   

  %Documents and Settings%\\Application Data\taskmon.exe
   

  %Documents and Settings%\\Application Data\rundll.exe
   

  %Documents and Settings%\\Application Data\service.exe
   

  %Documents and Settings%\\Application Data\sound.exe
   

  %Documents and Settings%\\Applicatio ... Читать дальше »

роянская программа, которая без ведома пользователя производит дозвон на платные номера. Программа является приложением Windows (PE EXE-файл). Имеет размер 25131 байт. Написана на Delphi. 

Деструктивная активность 

После запуска троянец запускает копию своего процесса и внедряет в него вредоносный код, который детектируется Антивирусом Касперского, как Trojan.Win32.Dialer.tvx. 

Данный код выполняет следующие действия: 

* Получает доступные модемные соединения на компьютере пользователя; 

* Получает сценарий своей работы, загружая файл со следующего URL:

  http://91.***.118.***/Dialer_Min/number.asp

Данный файл сохраняется в корневой каталог Windows под именем "number.txt":

%WinDir%\number.txt

Из этого файла считываются параметры и номер телефона для дальнейшего дозвона. После чего данный файл удаляется.

Вредоносная программа-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма, а также при помощи файлообменных сетей и сменных носителей информации. Червь является приложением Windows (PE-EXE файл). Размер исполняемого файла может варьироваться в пределах от 150 до 400 КБ. 

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:
%System%\javaupd.exe
%System%\javaqs.exe 

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Kaspersky Email Security" = "%System%\javaupd.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Java update" = "%System%\javaqs.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Java update" = "%Syste ... Читать дальше »

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта. 

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\twex.exe 

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
 [HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
"

Деструктивная активность 

Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции: 
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя э ... Читать дальше »

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт. 

Инсталляция 

После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll":
%System%\digeste.dll

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_". 

Деструктивная активность 

Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на се ... Читать дальше »

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 78848 байт. Написана на C++. 

Деструктивная активность

После запуска троянец проверяет системную дату, и если она позже 09.03.2009, троянец прекращает свою работу и самоудаляется. Также происходит проверка наличия на компьютере вредоносной программы Net-Worm.Win32.Kido.

После проверок троянец извлекает из своего тела вредоносную программу, которая детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Kido.a, и помещает его во временный каталог текущего пользователя Windows:

%Temp%\.tmp, где - случайная последовательность символов 

Данный файл имеет размер 81408 байт. После извлечения файл запускается на выполнение.

Затем извлекает из своего тела пакетный файл и помещает его во временный каталог текущего пользователя Windows:
< ... Читать дальше »