Троянская программа, выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта. 

Инсталляция

Троянец копирует свой исполняемый файл как:
%WinDir%\system\svhost.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

Деструктивная активность

Троянец добавляет свой исполняемый файл в список доверенных приложений Windows Firewall. 

После чего запускает процесс "iexplore.exe" и внедряет в него свой код. 

Пытается завершить следующие процессы: 
avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe ... Читать дальше »

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 32768 байт. 

Деструктивная активность 

После запуска троянец собирает системную информацию с зараженного компьютера, а именно – серийный номер жесткого диска и сетевое имя компьютера. Затем, полученные данные, троянец использует при формировании ссылки, по которой будет производиться HTTP запрос:
http://af9f*****dcc.com/bt.php?mod=&id=<сетевое_имя_компьютера>_1084860184&up=9263620&mid=soboc40

По данной ссылке в каталог хранения временных файлов текущего пользователя загружается файл, который сохраняется под случайным именем:
%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность. 

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz. 

Зат ... Читать дальше »

Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++. 

Инсталляция

Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe": 
%System%\rs32net.exe

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра: 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "%System%\rs32net.exe"

После чего оригинальное тело троянца удаляется. 

В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "<путь_к_оригинальному_телу_троянца>"

Деструктивная активность

После запуска троянец запускает системный процесс:< ... Читать дальше »

Вредоносная программа. Является библиотекой Windows (PE DLL-файл). 

Инсталляция 

Копирует свой исполняемый файл в следующие папки со случайными именами вида:
%Program Files%\Internet Explorer\.dll
   

  %Program Files%\Windows Media Player\.dll
   

  %Program Files%\WindowsNT\.dll
   

  %Program Files%\Movie Maker\.dll
   

  %SpecialFolder%\.dll
   

  %System%\.dll
   

  %Temp%\.dll
   

   

где — случайная последовательность символов. 

Для автоматического запуска при следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "rundll32.exe <путь к файлу троянца>"
   

  

где — случайная последовательность символов. 

Также удаляет следующий ключ реестра с целью сдела ... Читать дальше »

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++. 

Инсталляция 

После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows: 
%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe 

Деструктивная активность 

После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%\\Application Data\svchosts.exe
   

  %Documents and Settings%\\Application Data\taskmon.exe
   

  %Documents and Settings%\\Application Data\rundll.exe
   

  %Documents and Settings%\\Application Data\service.exe
   

  %Documents and Settings%\\Application Data\sound.exe
   

  %Documents and Settings%\\Applicatio ... Читать дальше »

роянская программа, которая без ведома пользователя производит дозвон на платные номера. Программа является приложением Windows (PE EXE-файл). Имеет размер 25131 байт. Написана на Delphi. 

Деструктивная активность 

После запуска троянец запускает копию своего процесса и внедряет в него вредоносный код, который детектируется Антивирусом Касперского, как Trojan.Win32.Dialer.tvx. 

Данный код выполняет следующие действия: 

* Получает доступные модемные соединения на компьютере пользователя; 

* Получает сценарий своей работы, загружая файл со следующего URL:

  http://91.***.118.***/Dialer_Min/number.asp

Данный файл сохраняется в корневой каталог Windows под именем "number.txt":

%WinDir%\number.txt

Из этого файла считываются параметры и номер телефона для дальнейшего дозвона. После чего данный файл удаляется.

Вредоносная программа-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма, а также при помощи файлообменных сетей и сменных носителей информации. Червь является приложением Windows (PE-EXE файл). Размер исполняемого файла может варьироваться в пределах от 150 до 400 КБ. 

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:
%System%\javaupd.exe
%System%\javaqs.exe 

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Kaspersky Email Security" = "%System%\javaupd.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Java update" = "%System%\javaqs.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Java update" = "%Syste ... Читать дальше »

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта. 

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows: 

%System%\twex.exe 

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 
 [HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
"

Деструктивная активность 

Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции: 
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя э ... Читать дальше »

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт. 

Инсталляция 

После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll":
%System%\digeste.dll

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_". 

Деструктивная активность 

Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на се ... Читать дальше »

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 78848 байт. Написана на C++. 

Деструктивная активность

После запуска троянец проверяет системную дату, и если она позже 09.03.2009, троянец прекращает свою работу и самоудаляется. Также происходит проверка наличия на компьютере вредоносной программы Net-Worm.Win32.Kido.

После проверок троянец извлекает из своего тела вредоносную программу, которая детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Kido.a, и помещает его во временный каталог текущего пользователя Windows:

%Temp%\.tmp, где - случайная последовательность символов 

Данный файл имеет размер 81408 байт. После извлечения файл запускается на выполнение.

Затем извлекает из своего тела пакетный файл и помещает его во временный каталог текущего пользователя Windows:
< ... Читать дальше »

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. 

Является файлом командного интерпретатора (BAT-файл). Имеет размер 3596 байт.

Деструктивная активность

После запуска червь скрывает защищенные системные файлы, устанавливая "0" в параметр "ShowSuperHidden" следующего ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Затем пытается скопировать файл:

%WinDir%\atidrv.exe

в каталог

d:\recycler

Удаляет из каталога Windows файлы с именами:

%WinDir%\yes
%WinDir%\info

После чего при помощи команды "ping" отправляет 20 ICMP запросов на следующий IP:

127.0.0.1

И устанавливает таймаут для ответа в 400 миллисекунд.

Далее червь копирует в коревой каталог логических дисков "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "c" следующие файлы: 
%WinDir%\autorun.inf
%WinDir%&# ... Читать дальше »

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на C++. 

Инсталляция 

При запуске троянец перемещает файл «%WinDir%\Fonts\wuauclt.exe» и сохраняет его под именем: 

c:\ss.tmp 

Далее копирует свой исполняемый файл под именем: 

%WinDir%\Fonts\wuauclt.exe 

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"

Деструктивная активность 

Троянец выполняет следующие действия: 

* изменяет значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Internet Explorer\Main]
  "Start Page" = "http://www2.0712 ... Читать дальше »

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 450522 байта. Написана на Delphi. 

Инсталляция 

После запуска троянец копирует свое тело в системный каталог Windows под именем "avgsec.exe": 
%System%\avgsec.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"

Деструктивная активность 

Троянец подменяет файлы "hosts" и "lmhosts". Это приводит к неправильному переводу доменных имен в IP-адреса. Данные, которые будут внесены в эти файлы троянец получает с адреса:
http://211.99.150.***/icons/folder.sw.gif

На момент создания описания данные выглядели следующим образом:
127.0.0.1 lo ... Читать дальше »

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney. 

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

* XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;

* Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;

* Wait – содержит вредоносный функционал. 

Net-Worm.JS.Twettir.a использует XSS-уязвимость в обработке тега img:
document ... Читать дальше »