Программы.

Trojan-Dropper.Win32. Agent.albv

Admin — Mon, 18 May 2009 09:18:50 GMT

Троянская программа, выполняющая вредоносные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта.

Инсталляция

Троянец копирует свой исполняемый файл как:
%WinDir%\system\svhost.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSVCHO" = "%WinDir%\system\svhost.exe"

Деструктивная активность

Троянец добавляет свой исполняемый файл в список доверенных приложений Windows Firewall.

После чего запускает процесс "iexplore.exe" и внедряет в него свой код.

Пытается завершить следующие процессы:
avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe

А так же службы следующих антивирусных программ и сетевых фильтров:
AntiVir
Avast Antivirus
AVG Antivirus
BitDefender
Dr.Web
Kaspersky Antivirus
Nod32
Norman
Authentium Antivirus
Ewido Security Suite
McAfee VirusScan
Panda Antivirus/Firewall
Sophos
Symantec/Norton
PC-cillin Antivirus
F-Secure
Norton Personal Firewall
ZoneAlarm
Comodo Firewall
eTrust EZ Firewall
F-Secure Internet Security
Kaspersky Antihacker
McAfee Personal Firewall
Norman Personal Firewall
Outpost Personal Firewall
Panda Internet Seciruty Suite
Panda Anti-Virus/Firewall
Kerio Personal Firewall
Tiny Personal Firewall
BitDefender / Bull Guard Antivirus
Sygate Personal Firewall

Троян пытается похитить пароли к веб-сайтам, сохраненные в кеше следующих браузеров:
Mozilla FireFox Internet Explorer

А так же пароли и данные учетных записей следующих IM-клиентов:
Trillian Miranda Yahoo Messenger MySpace IM Gaim

Так же троян содержит встроенный клавиатурный шпион и может делать скриншоты рабочего стола пользователя, которые сохраняются во временную папку с именами вида .tmp, где N – некоторое десятичное число.

Собранную информацию троян загружает на сервер злоумышленников:
212.158.160.***

Распространение на съемных носителях

Троянец копирует свой исполняемый файл в корень каждого съемного диска с именем:

:\wlan.exe, где X – буква раздела

Также вместе со своим исполняемым файлом помещает в корень каждого раздела сопровождающий файл:
:\autorun.inf

который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Trojan-Downloader.Win32. Small.jls

Admin — Mon, 18 May 2009 09:18:02 GMT

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 32768 байт.

Деструктивная активность

После запуска троянец собирает системную информацию с зараженного компьютера, а именно – серийный номер жесткого диска и сетевое имя компьютера. Затем, полученные данные, троянец использует при формировании ссылки, по которой будет производиться HTTP запрос:
http://af9f*****dcc.com/bt.php?mod=&id=<сетевое_имя_компьютера>_1084860184&up=9263620&mid=soboc40

По данной ссылке в каталог хранения временных файлов текущего пользователя загружается файл, который сохраняется под случайным именем:
%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность.

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского как Backdoor.Win32.KeyStart.bz.

Затем происходит загрузка и запуск файла, который размещается по ссылке:
http://spa*****er.com/731l3.exe

Файл загружается в каталог хранения временных файлов текущего пользователя и сохраняется под случайным именем:
%Temp%\.tmp

где rnd – случайная цифробуквенная последовательность.

Данный файл имеет размер 72704 байта и детектируется Антивирусом Касперского

Trojan.Win32. Inject.jgf

Admin — Mon, 18 May 2009 09:16:47 GMT

Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++.

Инсталляция

Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe":
%System%\rs32net.exe

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "%System%\rs32net.exe"

После чего оригинальное тело троянца удаляется.

В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "<путь_к_оригинальному_телу_троянца>"

Деструктивная активность

После запуска троянец запускает системный процесс:
%System%\svchost.exe

И внедряет свой вредоносный код в его адресное пространство.

Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника:
http://195.2.253.***

Trojan-Downloader. Win32.Kido.a

Admin — Mon, 18 May 2009 09:15:51 GMT

Вредоносная программа. Является библиотекой Windows (PE DLL-файл).

Инсталляция

Копирует свой исполняемый файл в следующие папки со случайными именами вида:
%Program Files%\Internet Explorer\.dll

%Program Files%\Windows Media Player\.dll

%Program Files%\WindowsNT\.dll

%Program Files%\Movie Maker\.dll

%SpecialFolder%\.dll

%System%\.dll

%Temp%\.dll

где — случайная последовательность символов.

Для автоматического запуска при следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"" = "rundll32.exe <путь к файлу троянца>"

где — случайная последовательность символов.

Также удаляет следующий ключ реестра с целью сделать невозможным запуск системы в безопасном режиме:
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Удаляет следующий ключ системного реестра, отключая уведовления центра безопасности Windows (Windows Security Center):
[HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]

Удаляет значение автозапуска для Windows Defender:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender]

Также изменяет значение следующего ключа реестра, добавляя ссылку на службу троянца:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = "<оригинальное значение> <имя службы троянца>"

Для автоматического запуска при следующем старте системы троянец создает службу, которая запускает его библиотеку при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\<%rnd%>]
"Description" = "<описание одной из системных служб>"
"DisplayName" = "Manager Security"
"ImagePath" = REG_EXPAND_SZ, "%SystemRoot%\system32\svchost.exe -k netsvcs"
"Start" = "dword:0x00000002"
[HKLM\SYSTEM\CurrentControlSet\Services\<%rnd%>\Parameters]
"ServiceDll" = "%System%\<%rnd%>.dll"

где %rnd% — случайная последовательность символов.

Отображаемое имя службы составляется из следующих слов:
Policy
Discovery
Storage
Power
Logon
Machine
Browser
Management
Framework
Component
Trusted
Backup
Notify
Audit
Control
Hardware
Windows
Update
Universal
Task
Support
Shell
Security
Network
Monitor
Microsoft
Manager
Installer
Image
Helper
Driver
Config
Center
Boot

Имя службы составляется из комбинации следующих слов:
Time
System
svc
Svc
srv
Srv
Service
Server
serv
prov
mon
mgmt
man
logon
auto
agent
access

А также включает слово из следующего списка:
xml
wuau
wsc
Wmi
Wmdm
win
W32
Trk
Tapi
Sec
Remote
Ras
Ntms
Net
Lanman
Ias
help
Event
Audio
App

Для определения своего присутствия в системе создает следующий уникальный идентификатор:
Global\%rnd%-%rnd%
Global\%rnd%-7

Деструктивная активность

Вредоносная программа проверяет, если текущая дата позднее 1 апреля 2009 года, то запускает свой деструктивный функционал.

Осуществляет проверку на наличие следующих папок в системе:
Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
IME
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx

Если данные папки не обнаружены — прекращает свою работу.

При запуске отключает следующие службы в зависимости от модификации:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

Для этого изменяет исходное значение параметра Start для каждой службы на следующее:
"Start" ="dword:0x00000004"

Троянец внедряет свой код в адресное пространство системных процессов:

svchost.exe

explorer.exe (если запись в svchost.exe не была успешной)

services.exe (для Windows 2000)

Внедренный код выполняет основной деструктивный функционал троянца:

Троянец не использует драйвер для доступа к сетевому протоколу, как это было реализовано в черве Kido.

Троянец устанавливает перехваты на следующие API вызовы (из библиотеки dnsrslvr.dll) с целью заблокировать доступ к списку пользовательских доменов:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
NetpwPathCanonicalize
InternetGetConnectedState

Блокирует доступ к сайтам и адресам, содержащим следующие строки:
vet.
sans.
nai.
msft.
msdn.
llnwd.
llnw.
kav.
gmer.
cert.
ca.
bit9.
avp.
avg.
windowsupdate
wilderssecurity
virus
virscan
trojan
trendmicro
threatexpert
threat
technet
symantec
sunbelt
spyware
spamhaus
sophos
secureworks
securecomputing
safety.live
rootkit
rising
removal
quickheal
ptsecurity
prevx
pctools
panda
onecare
norton
norman
nod32
networkassociates
mtc.sri
msmvps
msftncsi
mirage
microsoft
mcafee
malware
kaspersky
k7computing
jotti
ikarus
hauri
hacksoft
hackerwatch
grisoft
gdata
freeav
free-av
fortinet
f-secure
f-prot
ewido
etrust
eset
esafe
emsisoft
dslreports
drweb
defender
cyber-ta
cpsecure
conficker
computerassociates
comodo
clamav
centralcommand
ccollomb
castlecops
bothunter
avira
avgate
avast
arcabit
antivir
anti-
ahnlab
agnitum

Завершает процессы, в именах которых присутствуют следующие строки:
wireshark
unlocker
tcpview
sysclean
scct_
regmon
procmon
procexp
ms08-06
mrtstub
mrt.
mbsa.
klwk
kido
kb958
kb890
hotfix
gmer
filemon
downad
confick
avenger
autoruns

Таким образом, троянец блокирует доступ пользователю к основным сайтам где можно скачать обновление антивирусных баз или специальные утилиты удаления вредоносных программ.

Троянец проверяет наличие соединения с Интернет, проверяя подключение к следующим сайтам:
netlog.com
yandex.ru
zedo.com
doubleclick.com
2ch.net
allegro.pl
hi5.com
seznam.cz
ebay.com
odnoklassniki.ru
myspace.com
go.com
yahoo.com
fastclick.com
sourceforge.net
comcast.net
wikimedia.org
miniclip.com
mininova.org
facebook.com
adultadworld.com
4shared.com
skyrock.com
biglobe.ne.jp
download.com
youporn.com
adultfriendfinder.com
nicovideo.jp
rambler.ru
foxnews.com
terra.com.br
zshare.net
bigpoint.com
yahoo.co.jp
dell.com
ziddu.com
livejournal.com
mixi.jp
rediff.com
youtube.com
mywebsearch.com
tube8.com
xhamster.com
naver.com
tribalfusion.com
narod.ru
hyves.nl
xiaonei.com
clicksor.com
adsrevenue.net
mail.ru
files.wordpress.com
tinypic.com
ebay.it
digg.com
linkbucks.com
imdb.com
tagged.com
nba.com
msn.com
blogfa.com
recvfrom
livedoor.com
linkedin.com
kaixin001.com
reference.com
megaporn.com
torrentz.com
orange.fr
geocities.com
pcpop.com
paypopup.com
fc2.com
partypoker.com
ask.com
googlesyndication.com
badongo.com
goo.ne.jp
aweber.com
answers.com
espn.go.com
seesaa.net
metroflog.com
aim.com
megaclick.com
metacafe.com
netflix.com
sonico.com
photobucket.com
awempire.com
depositfiles.com
imageshack.us
gougou.com
pornhub.com
mediafire.com
typepad.com
imeem.com
perfspot.com
56.com
soso.com
ameba.jp
friendster.com
google.com
tuenti.com
imagevenue.com
taringa.net
badoo.com
disney.go.com
livejasmin.com
multiply.com
ucoz.ru
flickr.com
mapquest.com
ameblo.jp
pogo.com
apple.com
cricinfo.com
ebay.co.uk
studiverzeichnis.com
vkontakte.ru
wordpress.com
rapidshare.com
wikipedia.org
icq.com
xnxx.com
veoh.com
ning.com
pconline.com.cn
tudou.com
sakura.ne.jp
fotolog.net
bbc.co.uk
conduit.com
vnexpress.net
ebay.de
craigslist.org
live.com
xvideos.com
ioctlsocket
tianya.cn
alice.it
bebo.com
verizon.net
megaupload.com
kooora.com
thepiratebay.org

Основной функционал

Производит загрузку файлов со следующего URL:
http:///search?q=<%rnd2%>

где rnd2 — случайное число, URL — ссылка, сформированная по специальному алгоритму в зависимости от текущей даты.

В алгоритме создания доменных имен используется Microsoft Base Cryptographic Provider v1.0 для генерации псевдослучайных значений.

Локализации доменов выбираются из следующего списка:
vn
vc
us
tw
to
tn
tl
tj
tc
su
sk
sh
sg
sc
ru
ro
ps
pl
pk
pe
no
nl
nf
my
mw
mu
ms
mn
me
md
ly
lv
lu
li
lc
la
kz
kn
is
ir
in
im
ie
hu
ht
hn
hk
gy
gs
gr
gd
fr
fm
es
ec
dm
dk
dj
cz
cx
cn
cl
ch
cd
ca
bz
bo
be
at
as
am
ag
ae
ac
com.ve
com.uy
com.ua
com.tw
com.tt
com.tr
com.sv
com.py
com.pt
com.pr
com.pe
com.pa
com.ni
com.ng
com.mx
com.mt
com.lc
com.ki
com.jm
com.hn
com.gt
com.gl
com.gh
com.fj
com.do
com.co
com.bs
com.br
com.bo
com.ar
com.ai
com.ag
co.za
co.vi
co.uk
co.ug
co.nz
co.kr
co.ke
co.il
co.id
co.cr

Новая модификация троянца генерирует 50000 доменных имен в сутки, при этом пропускает следующие группы адресов:
127.x.x.x
169.254.x.x
x.198.x.x
x.255.255.253
224-239.x.x.x
240-255.x.x.x

Из данного списка троянец выбирает 500 произвольных имен и пытается подключиться к ним для загрузки файлов. Если подключение не произошло, через некоторое время выбираются следующие 500 имен.

Также троянец имеет в теле «черный» список IP адресов, принадлежащих компаниям в сфере безопасности — 399 IP адресов.

Текущую дату троянец запрашивает с одного из следующих сайтов:
http://www.w3.org
http://www.ask.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.rapidshare.com
http://www.imageshack.us
http://www.facebook.com

Если соединение установить не удалось, то используется текущая дата из системы пользователя.

Загруженные файлы сохраняются в папку:
%Temp%\<%computer _id%>\<%rnd% >.tmp

где — случайная последовательность символов.

Trojan.Win32. Agent.azsy

Admin — Mon, 18 May 2009 09:14:45 GMT

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 417792 байта. Упакована при помощи UPX. Распакованный размер – около 439 КБ. Написана на С++.

Инсталляция

После активации троянец копирует свое тело в каталог автозагрузки текущего пользователя Windows:
%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe

Деструктивная активность

После перезагрузки зараженного компьютера троянец извлекает из своего тела файл с именем из следующего списка:
%Documents and Settings%\\Application Data\svchosts.exe

%Documents and Settings%\\Application Data\taskmon.exe

%Documents and Settings%\\Application Data\rundll.exe

%Documents and Settings%\\Application Data\service.exe

%Documents and Settings%\\Application Data\sound.exe

%Documents and Settings%\\Application Data\upnpsvc.exe

%Documents and Settings%\\Application Data\lsas.exe

%Documents and Settings%\\Application Data\logon.exe

%Documents and Settings%\\Application Data\helper.exe

%Documents and Settings%\\Application Data\event.exe

%Documents and Settings%\\Application Data\dumpreport.exe

%Documents and Settings%\\Application Data\msiexeca.exe

Данный файл имеет размер 404992 байта и детектируется Антивирусом Касперского, как Trojan-Downloader.Win32.Agent.aoth.

Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на извлеченный файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"" = ""

где - имя, выбранное из списка:
CrashDump
EventLog
Init
lsass
Regscan
RunDll
Setup
Sound
svchosts
System
TaskMon
UPNP
Windows

- путь к извлеченному файлу из списка указанного выше.

По завершению работы троянец удаляет свое оригинальное тело и копию "%Documents and Settings%\\Main Menu\Programs\Startup\uninstall.exe".

Данная троянская программа не работает на операционной системе Windows с русской локализацией.

Trojan.Win32. Agent2.dtb

Admin — Mon, 18 May 2009 09:13:54 GMT

роянская программа, которая без ведома пользователя производит дозвон на платные номера. Программа является приложением Windows (PE EXE-файл). Имеет размер 25131 байт. Написана на Delphi.

Деструктивная активность

После запуска троянец запускает копию своего процесса и внедряет в него вредоносный код, который детектируется Антивирусом Касперского, как Trojan.Win32.Dialer.tvx.

Данный код выполняет следующие действия:

* Получает доступные модемные соединения на компьютере пользователя;

* Получает сценарий своей работы, загружая файл со следующего URL:

http://91.***.118.***/Dialer_Min/number.asp

Данный файл сохраняется в корневой каталог Windows под именем "number.txt":

%WinDir%\number.txt

Из этого файла считываются параметры и номер телефона для дальнейшего дозвона. После чего данный файл удаляется.

Email-Worm.Win32. Merond.a

Admin — Mon, 18 May 2009 09:13:07 GMT

Вредоносная программа-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма, а также при помощи файлообменных сетей и сменных носителей информации. Червь является приложением Windows (PE-EXE файл). Размер исполняемого файла может варьироваться в пределах от 150 до 400 КБ.

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:
%System%\javaupd.exe
%System%\javaqs.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Kaspersky Email Security" = "%System%\javaupd.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Java update" = "%System%\javaqs.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Java update" = "%System%\javaqs.exe"
[HKLM\Software\Microsoft\Active Setup\Installed Components\{1A2K5H58-65CP-

B7PP-F600-3023OJX71M20}]
"StubPath" = "%System%\javaqs.exe"

Также червь добавляет свой исполняемый файл в список доверенных приложений Windows Firewall.

Распространение по электронной почте

Поиск адресов электронной почты для рассылки писем ведется в файлах с расширениями:
txt htm
shtl
php
asp
dbx
dbh
wab

а так же в адресной книге зараженного компьютера.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Письма не отправляются на адреса, содержащие следующие строки:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
security
accoun
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
berkeley
math
mit.e
gnu
fsf.
ibm.com
debian
kernel
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
sun.com
isi.e
isc.o
secur
acketst
pgp
apache
gimp
tanford.e
utgers.ed
mozilla
firefox
suse
redhat
sourceforge
slashdot
avp
syman
panda
avira
f-secure
sopho
www.ca.com
prevx
drweb
bitdefender
clamav
eset.com
ikarus
mcafee
kaspersky
virusbuster
icrosof
msn.
borlan
inpris
lavasoft
jgsoft
ghisler.com
wireshark
acdnet.com
acdsystems.com
acd-group
bpsoft.com
buyrar.com
bluewin.ch
quebecor.com
alcatel-lucent.com
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
messagelabs
honeynet
honeypot
idefense
qualys
spm
spam
www
abuse
.co

В архиве содержится файл с именем ikea с одним из следующих расширений:
.zip .rar
.cab
.txt
.reg
.msi
.htm
.html
.bat
.cmd
.pif
.scr
.mov
.mp3
.wav

после которых следует расширение .exe.

Распространение через P2P сети

Червь копирует свой исполняемый файл под одним из следующих имен:
K-Lite codec pack 4.0 gold.exe
Youtube Music Downloader 1.0.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Password Cracker.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
VmWare keygen.exe
WinRAR v3.x keygen RaZoR.exe
TCN ISO cable modem hacking tools.exe
TCN ISO SigmaX2 firmware.bin.exe
Red Alert 3 keygen and trainer.exe
Ad-aware 2008.exe
BitDefender AntiVirus 2009 Keygen.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin,
Greensleves).exe
Ultimate ring tones package2 (Lil Wayne - Way Of Life,Khia - My Neck My
Back
Like My Pussy And My Crack,Mario - Let Me Love You,R. Kelly - The
Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent - P.I.M.P,

Jennifer Lopez Feat. Ll Cool J - All I Have, 50 Cent - 21 Question).exe
Acker DVD Ripper 2009.exe
LimeWire Pro v4.18.3.exe
Download Accelerator Plus v8.7.5.exe
Opera 10 cracked.exe
Internet Download Manager V5.exe
Myspace theme collection.exe
Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe
Motorola, nokia, ericsson mobil phone tools.exe
Smart Draw 2008 keygen.exe
Microsoft Visual Studio 2008 KeyGen.exe
Absolute Video Converter 6.2.exe
Daemon Tools Pro 4.11.exe
Download Boost 2.0.exe
Silkroad Online guides and wallpapers.exe
Alcohol 120 v1.9.7.exe
CleanMyPC Registry Cleaner v6.02.exe
Super Utilities Pro 2009 11.0.exe
Power ISO v4.2 + keygen axxo.exe
G-Force Platinum v3.7.5.exe
Divx Pro 6.8.0.19 + keymaker.exe
Perfect keylogger family edition with crack.exe
Ultimate xxx password generator 2009.exe
Google Earth Pro 4.2. with Maps and crack.exe
xbox360 flashing tools and guide including bricked drive fix.exe
Sophos antivirus updater bypass.exe
Half life 3 preview 10 minutes gameplay video.exe
Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe
FOOTBALL MANAGER 2009.exe
Wow WoLTk keygen generator-sfx.exe
Joannas Horde Leveling Guide TBC Woltk.exe
Tuneup Ultilities 2008.exe
Kaspersky Internet Security 2009 keygen.exe
Windows XP PRO Corp SP3 valid-key generator.exe

в папки общего доступа следующих клиентов P2P сетей:
grokster
emule
morpheus
limewire
tesla
winmx
DC++

Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл в корень съемных дисков со следующим именем:

:\redmond.exe,

где X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень диска сопровождающий файл:

:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Trojan-Spy.Win32. Zbot.ikh

Admin — Mon, 18 May 2009 09:12:05 GMT

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\twex.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
"

Деструктивная активность

Троянец внедряет свой код во все запущенные в системе процессы и устанавливает перехватчики на следующие API-функции:
NtCreateFile
NtQueryDirectoryInformation
LdrLoadDll
LdrGetProcedureAddress
NtCreateThread
EndDialog
DestroyWindow
TranslateMessage
GetClipboardData

Используя эти перехватчики, троян следит за работой программы WebMoney Keeper. В момент, когда программа производит авторизацию на сайте, троян извлекает следующую информацию:

* номер интернет-кошелька(WMID);

* пароль;

* режим входа(стандартный/enum-storage);

* версию программы WebMoney Keeper;

* текущий баланс на счету пользователя.

Также троян ищет в системе окна с именами классов:

SunAwtDialog

javax.swing.Jframe

и имеющие следующие заголовки:

Вход в систему

Синхронизация с Банком

Если такие окна найдены, троянец ищет в папке с программой, которой принадлежат эти окна следующие файлы:

prv_key.pfx
sign.cer
*.jks
*.db3
*.key
*.cnf

И упаковывает их в архив:

%Temp%\interpro.cab

Также троян извлекает данные, находящиеся в буфере обмена при вставке в окна данной программы и перехватывает ввод пользователя с клавиатуры (keylogger).

Троянец перехватывает HTTP запросы со следующих адресов:

https://ibank*.ru/*
https://bc.nsk.*.ru/*
https://www.faktura.ru/enter.jsp?site=

Из перехваченных данных извлекаются все значения полей web-форм.

Собранную информацию троян отсылает на сайт злоумышленника.

Backdoor.Win32. Agent.abgg

Admin — Mon, 18 May 2009 09:10:52 GMT

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll":
%System%\digeste.dll

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_".

Деструктивная активность

Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на сервер злоумышленника следующую информацию:
http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689

где "uid" — статически заданное значение "1", "guid" — серийный номер диска, "rnd" — случайное число, "first" — флаг первого запуска (если запуск первый, то значение "1", если нет, то "0").

В ответ получает сценарий дальнейшей работы бэкдора. Лог своей работы сохраняет в каталоге Windows под именем "wiaserviv.log":
%WinDir%\wiaserviv.log

На момент создания описания сервер злоумышленника был недоступен.

Trojan-Dropper.Win32. Kido.a

Admin — Mon, 18 May 2009 09:09:50 GMT

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 78848 байт. Написана на C++.

Деструктивная активность

После запуска троянец проверяет системную дату, и если она позже 09.03.2009, троянец прекращает свою работу и самоудаляется. Также происходит проверка наличия на компьютере вредоносной программы Net-Worm.Win32.Kido.

После проверок троянец извлекает из своего тела вредоносную программу, которая детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Kido.a, и помещает его во временный каталог текущего пользователя Windows:

%Temp%\.tmp, где - случайная последовательность символов

Данный файл имеет размер 81408 байт. После извлечения файл запускается на выполнение.

Затем извлекает из своего тела пакетный файл и помещает его во временный каталог текущего пользователя Windows:

%Temp%\.cmd, где - случайная последовательность символов

Данный файл имеет размер 53 байта и служит для самоудаления троянца.

После извлечения файл запускается на выполнение и удаляет оригинальный файл троянца.