Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. 

Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт.

Деструктивная активность

После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Затем пытается скопировать файл:

%WinDir%\atidrv.exe

в каталог

d:\recycler

Удаляет из каталога Windows файлы с именами:

%WinDir%\yes
%WinDir%\info

После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP:

127.0.0.1

И устанавливает таймаут для ответа в 400 миллисекунд.

Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы: 
%WinDir%\autorun.inf
%WinDir%&# ... Читать дальше »

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на C++. 

Инсталляция 

При запуске троянец перемещает файл «%WinDir%\Fonts\wuauclt.exe» и сохраняет его под именем: 

c:\ss.tmp 

Далее копирует свой исполняемый файл под именем: 

%WinDir%\Fonts\wuauclt.exe 

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"

Деструктивная активность 

Троянец выполняет следующие действия: 

* изменяет значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Internet Explorer\Main]
  "Start Page" = "http://www2.0712 ... Читать дальше »

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 450522 байта. Написана на Delphi. 

Инсталляция 

После запуска троянец копирует свое тело в системный каталог Windows под именем "avgsec.exe": 
%System%\avgsec.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"

Деструктивная активность 

Троянец подменяет файлы "hosts" и "lmhosts". Это приводит к неправильному переводу доменных имен в IP-адреса. Данные, которые будут внесены в эти файлы троянец получает с адреса:
http://211.99.150.***/icons/folder.sw.gif

На момент создания описания данные выглядели следующим образом:
127.0.0.1 lo ... Читать дальше »

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney. 

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

* XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;

* Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;

* Wait – содержит вредоносный функционал. 

Net-Worm.JS.Twettir.a использует XSS-уязвимость в обработке тега img:
document ... Читать дальше »