Sign in to follow this  
strike

Описания вирусов!

Recommended Posts

strike    84

Ghost_2.5000

 

Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h, 25h и записывается в начало COM- и EXE-файлов при их запуске, открытии или закрытии. Если длина COM-файла после заражения превышает 64K, то вирус конвертирует файл в EXE-формат. Если при инсталляции в системную память происходит ошибка, то вирус выводит текст и возвращает управление DOS:

 

Swap file creation error at 0FAD:2DEC.

Program aborted.

 

Вирус содержит код, записывающий в .PAS- и .CPP-файлы текст:

 

There is nothing in the world that I ever wanted more than to never feel

breaking apart all my programs again. The spiderman is always hungry

 

однако этот код не вызывается. В январе вирус портит данные на винчестере, имитирует на экране падающий снег и выводит текст (вместо "000000000" могут стоять произвольные цифры):

 

Happy New Year !

Ghost 1.0 is terminating it`s work now. Please wait...

Write down this number : 0000000000 and pray for your data rescue.

 

Вирус также содержит строки:

 

COMMAND.COM

.COM.EXE.PAS.CPP

I feel so tired.

The way the rain comes down how it`s how I feel inside.

I`ve been living so long with my pictures of you

Remembering you standing quiet in the rain

 

теперь ваша очередь!

Share this post


Link to post
Share on other sites
konoplyanik    40

Beethove.com

 

Очень опасный резидентный самошифрующийся вирус. Перехватывает INT 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своиего внутреннего счетчика и значения системного таймера вирус записывает в файлы и MBR винчестера троянскую программу, которая при запуске выводит сообщение и проигрывает мелодию:

 

Beethoven is here.... And now, enjoy the music... :dance2:

Share this post


Link to post
Share on other sites
konoplyanik    40

AdWare.WinTool

Rootkit: Нет

Синонимы: TrojanDownloader.Win32.WinTool

 

AdWare WinTool состоит собственно из AdWare.WinTool, и TrojanDownloader.Win32.WinTool, который его устанавливает.

Размещается этот AdWare в папке Program Files/Common Files/WinTools. В папке можно найти три основных программных модуля:

 

WSup.exe (имеет набор атрибутов "скрытый", "системный"),

 

WToolsA.exe,

 

WToolsB.dll.

Иконка у WSup.exe и WToolsA.exe аналогична иконке Internet Explorer.

В памяти от него обычно наблюдается два процесса (по поведению он похож на WinAd) - WToolsA.exe и WSup.exe. Процессы следят друг за другом и при убиении одного второй его немедленно перезапускает (что приводит к эффекту "неубиваемости").

В реестре WinTool создает ключ HKEY_LOCAL_MACHINE\Software\WinTools для хранения неких данных и душевно прописывает себя на автозапуск (сразу в три ключа - Run, RunServices, RunServicesOnce - все разделы содержат ключ WinTools, ссылающийся на WToolsA.exe, причем из ключа RunServicesOnce он запускается с параметром /boot)

В процессе работы этот AdWare скрытно загружает другого SpyWare, которого он размещает в папке Program Files/ToolBar (этот SpyWare еще изучается, известно, что это BHO от некоего поисковика).

 

Лечение

AVZ детектирует WinTool и уничтожает все его компоненты (для полного лечения потребуется перезагрузка). Однако следует отметить, что существует масса разновидностей AdWare.WinTool, которые в частности отличаются размещением файлов. При обнаружении посторонних процессов с похожими именами рекомендуется прислать их для проверки.

Share this post


Link to post
Share on other sites
konoplyanik    40

Trojan-PSW.Win32.Hapday

 

Rootkit: Нет

 

Этот троян обнаружен на ПК одного из учасников конференции virusinfo.

Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет.

При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.

Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.

В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?XXXXX" и "GET top.list.ru/counter?id=XXXXX;t=242;js=13;r=...."

Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.

Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых ICQ хранит настройки.

 

Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида katya@mail.ru, svetik@mail.ru, hacker@mail.ru ...

Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться несколько его экземпляров.

В теле трояна есть адрес, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).

Share this post


Link to post
Share on other sites
konoplyanik    40

Hoax.Win32.Renos.fl

 

Rootkit: Нет

Видимые проявления: Иконка в трее

Посторонний исполняемый файл winstall.exe в корне диска

 

Исполняемый файл, размер 15872 байта, сжат UPX. В случае запуска скрытно выполняет следующие операции:

1 .Создает копию своего исполняемого файла в корне диска под именем winstall.exe

2. Регистрирует файл winstall.exe в автозапуске стандартным образом, ключ SOFTWARE\Microsoft\Windows\CurrentVersion\Run, параметр Windows installer

3. Проверяет наличие файла Program Files\SpySheriff\SpySheriff.exe

 

После запуска данная Hoax программа отображает в трее иконку в виде красного перечеркнутого круга и выводит всплывающие сообщения о том, что компьютер заражен Spyware и рекомендуется использовать специализированный «антишпион» - как несложно догадаться, тот самый SpySheriff.

Share this post


Link to post
Share on other sites
konoplyanik    40

Hoax.Win32.Renos.a-b

 

Rootkit: Нет

Видимые проявления: Изменяются обои рабочего стола

Блокируется меню настройки рабочего стола

Файл данного Hoax именуется winlogon.exe, размер - 24064 байта, ничем не сжат.

В момент запуска проводит скрытный обен с сервером 69.50.166.196-custblock.intercage.com, откуда качает и инсталлирует программу SpywareNo объемом около 900 кб и прописывает ее в автозапуск.

После этого Hoax.Win32.Renos.a портит обои на рабочем столе, подменяя их картинкой с текстом:

"Windows Error. System has detected spyware activity. Some system functions are blocked out. Windows recommends you to clean your PC with a spyware removal tool. This has to be done as soon as possible to prevent loss of data.",

после чего делает недоступным меню смены обоев. Подмена обоев достаточна оригинальна - это собственно не обои, а HTML файл с именем desktop.html, помещаемый в папку Windows и прописанный в реестре в настройках рабочего стола (Policies\System\Wallpaper). Этот файл детектируется как Trojan-Clicker.Win32.Spywad.b, и содержит скрипты для подавления типичного для HTML меню и мигания надписью.

Программа SpywareNo, в свою очередь, показывает в трее иконку, при наведении на которую выдается сообщение "No protection" с указанием в скобках, что это черезвычайно опасно.

Щелчок по оконке открывает окно SpywareNo, в котором видны результаты сканирования - на эталонной лицензионной XP он нашел 15 троянов (несколько кейлоггеров, пару дропперов, флудеров, ...) - против всех пометка о том, что есть огромный риск от их наличия на ПК. Правда, есть тонкость - он не показывает путь и имена найденных файлов. Для лечения необходим лицензионный ключ - годичная лицензия стоит 38 евро.... При получении бесплатного ключа на три дня данная программа вылечивает выдуманные ей вирусы и устраняет подмену картинки рабочего стола, создавая видимость лечения.

Программа SpywareNo.exe детектируется KAV как Hoax.Win32.Renos.b

 

Рекомендации по лечению:

1. Удалить с диска winlogon.exe и созданные им файлы

2. Сбросить настройки рабочего стола (AVZ/Восстановление системы)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this