http://viruseasyforumru.mybb.forum/ Всё о вирусах ru-ru Thu, 14 Feb 2013 16:56:28 +0400 MyBB/mybb.ru http://viruseasyforumru.mybb.forum/viewtopic.php?pid=30#p30 <p><a href="http://uploads.ru/sgil0.png" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://s2.uploads.ru/t/sgil0.png" alt="http://s2.uploads.ru/t/sgil0.png" /></a><br />Всем привет , на моем недавно созданном сайте , начали всплывать окна с различными сообщениями , типа - ваш акаунт будет заблокирован , версия гугл устарела , страница вконтакте удалена и тд , понимаю , что это полный бред и просто пытаются таким образом поиметь денег с доверчивых людей , но браузер начал выдавать сообщение об опасности при заходе на сайт , а это уже серьезно - ведь никто не зайдет здравомыслящий . При просмотре кода элемента главной страницы вижу 2 iframe , но где их искать дальше на сайте и как удалить не знаю , прошу помощи - делом , советом . Плиззззз. Хелппп . Адрес сайта ( не заразно , проверено ) wwwskript.info.ms , откликнетесь кто нибудь !!!!<a href="http://uploads.ru/vD78I.png" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://s3.uploads.ru/t/vD78I.png" alt="http://s3.uploads.ru/t/vD78I.png" /></a><br /><a href="http://uploads.ru/1MC2w.png" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="http://s2.uploads.ru/t/1MC2w.png" alt="http://s2.uploads.ru/t/1MC2w.png" /></a></p> mybb@mybb.ru (GuDwin2610) Thu, 14 Feb 2013 16:56:28 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=30#p30 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=27#p27 <p>***</p> mybb@mybb.ru (qwa) Wed, 25 Feb 2009 16:47:12 +0300 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=27#p27 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=26#p26 <p>Другие модификации: .bnc, .bxr, .ex, .mp<br /><span style="display: block; text-align: center">Технические детали</span></p> <p>Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является файлом сценария языка Java Script. Имеет размер 6497 байт.<br />Деструктивная активность</p> <p>После активации вредоносный сценарий создает четыре скрытых фрейма, в которых выполняет код со следующих URL соответственно:<br /><a href="http://NoP.gs/***/t368.gif" rel="nofollow" target="_blank">http://NoP.gs/***/t368.gif</a><br /><a href="http://NoP.gs/***/t368ok.gif" rel="nofollow" target="_blank">http://NoP.gs/***/t368ok.gif</a><br /><a href="http://NoP.gs/***/Link368.gif" rel="nofollow" target="_blank">http://NoP.gs/***/Link368.gif</a><br /><a href="http://NoP.gs/***/reader368.gif" rel="nofollow" target="_blank">http://NoP.gs/***/reader368.gif</a><br /><a href="http://NoP.gs/***/Go368.gif" rel="nofollow" target="_blank">http://NoP.gs/***/Go368.gif</a></p> <p><span style="display: block; text-align: center">Рекомендации по удалению</span></p> <p>Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;2. Очистить каталог %Temporary Internet Files%.<br />&#160; &#160;3. Отключить уязвимый ActiveX объект (как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).<br /><span style="font-size: 8px">Взято с <a href="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=219589" rel="nofollow" target="_blank">http://www.viruslist.com/ru/viruses/enc &#8230; sid=219589</a></span></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:17:24 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=26#p26 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=25#p25 <p>Другие модификации: .bnc, .bxr, .ex, .sv<br /><span style="display: block; text-align: center">Технические детали</span><br />Троянец, который без ведома пользователя загружает на зараженный компьютер из сети Интернет другие вредоносные программы и запускает их на исполнение. Является сценарием языка Java Script. Имеет размер 9656 байт.<br /><span style="display: block; text-align: center">Деструктивная активность<br /></span><br />После запуска троянец производит внедрение своего кода в память процессов, имеющих следующие уникальные идентификаторы в системном реестре:</p> <p>{BD96C556-65A3-11D0-983A-00C04FC29E30}<br />{BD96C556-65A3-11D0-983A-00C04FC29E36}<br />{AB9BCEDD-EC7E-47E1-9322-D4A210617116}<br />{0006F033-0000-0000-C000-000000000046}<br />{0006F03A-0000-0000-C000-000000000046}<br />{6e32070a-766d-4ee6-879c-dc1fa91d2fc3}<br />{6414512B-B978-451D-A0D8-FCFDF33E833C}<br />{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}<br />{06723E09-F4C2-43c8-8358-09FCD1DB0766}<br />{639F725F-1B2D-4831-A9FD-874847682010}<br />{BA018599-1DB3-44f9-83B4-461454C84BF8}<br />{D0C07D56-7C69-43F1-B4A0-25F5A11FAB19}<br />{E8CCCDDF-CA28-496b-B050-6C07C962476B}</p> <p>Для выполнения произвольного кода в зараженной системе троянец использует уязвимости в ActiveX-компонентах «WinZIP FileView», «QuickTime», «WebViewFolderIcon», а также уязвимость в библиотеке MS Internet Explorer — «Msdds.dll».</p> <p>Уязвимость в ActiveX-компоненте «XMLHTTP» троянская программа использует для загрузки файла со следующего URL:</p> <p>--.***/file.php</p> <p>Используя уязвимость компонента «ADODB.Stream», троянец сохраняет скачанный файл в корень диска С: под именем «sys&lt;rnd&gt;.exe» (где &lt;rnd&gt; — буквы английского алфавита, отобранные случайным образом):</p> <p>С:\sys.exe</p> <p>Также загруженный файл сохраняется в системном каталоге Windows под именами «~.exe»:</p> <p>%System%\~.exe</p> <p>и «cpu.exe»:</p> <p>%System%\cpu.exe</p> <p>Также файл сохраняется в каталоге, находящемся на уровень выше каталога, содержащего оригинальный файл троянца, — под именем «tm.exe».</p> <p>Далее сохраненные файлы запускаются на исполнение.<br /><span style="display: block; text-align: center">Рекомендации по удалению</span></p> <p>Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;2. Удалить файлы:</p> <p>&#160; &#160; &#160; С:\sys&lt;rnd&gt;.exe<br />&#160; &#160; &#160; %System%\~.exe<br />&#160; &#160; &#160; %System%\cpu.exe<br />&#160; &#160; &#160; &lt;...&gt;/tm.exe</p> <p><span style="font-size: 8px">Взято с <a href="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21780349" rel="nofollow" target="_blank">http://www.viruslist.com/ru/viruses/enc &#8230; d=21780349</a></span></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:15:32 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=25#p25 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=24#p24 <p>Другие модификации: .bnc, .bxr, .mp, .sv<br /><span style="display: block; text-align: center">Технические детали</span><br />Троянская программа, обладающая функцией загрузки на компьютер без ведома пользователя файлов из сети Интернет и запуска их на исполнение. Вирус написан на JavaScript. Размер его компонентов варьируется в пределах от 7 до 19 КБ.<br />Деструктивная активность</p> <p>При запуске троянец скачивает файл, расположенный по следующей ссылке:</p> <p><a href="http://www.tankersite.com/1/*****/zerr.exe" rel="nofollow" target="_blank">http://www.tankersite.com/1/*****/zerr.exe</a></p> <p>Загруженный файл сохраняется под именем «C:\1.exe» и запускается на исполнение.<br /><span style="display: block; text-align: center">Рекомендации по удалению</span></p> <p>Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;2. Удалить файл:</p> <p>&#160; &#160; &#160; C:\1.exe</p> <p><span style="font-size: 8px">Взято с <a href="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=158371" rel="nofollow" target="_blank">http://www.viruslist.com/ru/viruses/enc &#8230; sid=158371</a></span></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:11:44 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=24#p24 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=23#p23 <p>Другие модификации: .bxr, .ex, .mp, .sv<br /><span style="display: block; text-align: center">Технические детали<br /></span><br />Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является html-страницей, содержащей сценарий языка Java Script. Имеет размер 1527 байт.<br />Деструктивная активность</p> <p>После запуска троянец производит расшифровку и внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:<br />{BD96C556-65A3-11D0-983A-00C04FC29E36}</p> <p>Используя уязвимость в ActiveX объекте &quot;Microsoft.XMLHTTP&quot;, троянец загружает файл со следующего URL:<br /><a href="http://www.mbspro" rel="nofollow" target="_blank">http://www.mbspro</a>*****.com/naizi/xia.exe</p> <p>Данный файл имеет размер 45717 байт и детектируется антивирусом Касперского как Trojan-Downloader.Win32.Delf.jfj.</p> <p>Используя ActiveX компонент &quot;ADODB.Stream&quot;, троянец сохраняет скачанный файл в каталоге Windows под именем &quot;~Temp.tmp&quot; (где - случайное число от 1 до 9999):<br />%WinDir%\~Temp.tmp</p> <p>После успешного сохранения данный файл запускается на выполнение.<br /><span style="display: block; text-align: center">Рекомендации по удалению</span></p> <p>Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. При помощи ( &quot;Диспетчера задач&quot;) завершить процесс:<br />&#160; &#160; &#160; ~Temp.tmp<br />&#160; &#160;2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;3. Удалить файл:<br />&#160; &#160; &#160; %WinDir%\~Temp.tmp<br />&#160; &#160;4. Очистить каталог %Temporary Internet Files%.<br />&#160; &#160;5. Отключить уязвимый ActiveX объект.<br />Взято с <a href="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=313461" rel="nofollow" target="_blank">http://www.viruslist.com/ru/viruses/enc &#8230; sid=313461</a></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:08:16 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=23#p23 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=22#p22 <p>Другие модификации: <a href="http://viruseasyforumru.mybb.forum/viewtopic.php?id=12">.bnc</a>, .ex, .mp, .sv</p> <p><span style="display: block; text-align: center">Технические детали<br /></span><br />Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является файлом сценария языка Java Script. Имеет размер 1159 байт.<br />Деструктивная активность</p> <p>Троянец скачивает файл по следующей ссылке:<br /><a href="http://veryblomar.com/*****/load.php" rel="nofollow" target="_blank">http://veryblomar.com/*****/load.php</a></p> <p>Скачанный файл сохраняется в следующую папку под следующим именем:<br />%Documents and Settings%\Local settings\Temporary Internet Files\svchosts.exe</p> <p>После чего запускается на выполнение.</p> <p>На момент создания описания указанная ссылка не работала.<br /><span style="display: block; text-align: center">Рекомендации по удалению</span></p> <p>Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:</p> <p>&#160; &#160;1. При помощи &lt;Диспетчера задач&gt; завершить вредоносный процесс.<br />&#160; &#160;2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).<br />&#160; &#160;3. Удалить файл:<br />&#160; &#160; &#160; %Documents and Settings%\Local settings\Temporary Internet Files\svchosts.exe<br />Взято с <a href="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782521" rel="nofollow" target="_blank">http://www.viruslist.com/ru/viruses/enc &#8230; d=21782521</a></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:06:10 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=22#p22 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=21#p21 <p>(BackDoor.Generic6.REC, Generic4.I, PE_CORELINK.A-O, PE_CORELINK.C, Rootkit.Win32.Agent.ev, Rootkit.Win32.Agent.ga, TROJ_AGENT.THK, TROJ_CORELINK.A, Trojan.Rootkit.AY, Virus.Win32.Alman.a, Virus.Win32.Alman.b, W32/Backdoor.AMKY, Win32.Almanahe.B, Win32/Alman, Win32/Almanahe, Win32/Almanahe!generic, Win32/Almanahe.A, Win32/Almanahe.F)<br />Добавлен в вирусную базу Dr.Web: 2007-06-08 17:12 <br />Тип вируса: Файловый вирус </p> <p>Размер: </p> <p>Уязвимые ОС: Win NT-based </p> <p>Упакован: - <br /></p> <p>Техническая информация</p> <p>При своём запуске создаёт следующие файлы: %windir%\linkinfo.dll, %systemroot%\system32\drivers\nvmini.sys и временный файл %systemroot%\system32\drivers\IsDrv118.sys. </p> <p>Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf. </p> <p>Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:</p> <p>nvmini.sys <br />linkinfo.dll <br />autorun.inf <br />boot.exe </p> <p>а также ветки реестра с подстрокой &quot;nvmini&quot;. </p> <p>Блокирует загрузку драйверов (антируткиты и сетевые фильтры):</p> <p>ISPUBDRV <br />ISDRV1 <br />RKREVEAL <br />PROCEXP <br />SAFEMON <br />RKHDRV10 <br />NPF <br />IRIS <br />NPPTNT <br />DUMP_WMIMMC <br />SPLITTER <br />EAGLENT <br /><br /></p> <p>Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable. </p> <p>Блокирует загрузку следующих библиотек: </p> <p>DLLWM.DLL <br />DLLHOSTS.DLL <br />NOTEPAD.DLL <br />RPCS.DLL <br />RDIHOST.DLL <br />RDFHOST.DLL <br />RDSHOST.DLL <br />LGSYM.DLL <br />RUND11.DLL <br />MDDDSCCRT.DLL <br />WSVBS.DLL <br />CMDBCS.DLL <br />RICHDLL.DLL <br />WININFO.RXK <br />WINDHCP.DLL <br />UPXDHND.DLL <br /></p> <p>Внедряет свою библиотеку в Explorer.exe </p> <p>Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll </p> <p>Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:</p> <p>\QQ <br />\WINNT\ <br />\WINDOWS\ <br />LOCAL SETTINGS\TEMP\ <br /></p> <p>Не заражает файлы их списка: </p> <p>zhengtu.exe <br />audition.exe <br />kartrider.exe <br />nmservice.exe <br />ca.exe <br />nmcosrv.exe <br />nsstarter.exe <br />maplestory.exe <br />neuz.exe <br />zfs.exe <br />gc.exe <br />mts.exe <br />hs.exe <br />mhclient-connect.exe <br />dragonraja.exe <br />nbt-dragonraja2006.exe <br />wb-service.exe <br />game.exe <br />xlqy2.exe <br />sealspeed.exe <br />asktao.exe <br />dbfsupdate.exe <br />autoupdate.exe <br />dk2.exe <br />main.exe <br />userpic.exe <br />zuonline.exe <br />config.exe <br />mjonline.exe <br />patcher.exe <br />meteor.exe <br />cabalmain.exe <br />cabalmain9x.exe <br />cabal.exe <br />au_unins_web.exe <br />xy2.exe <br />flyff.exe <br />xy2player.exe <br />trojankiller.exe <br />patchupdate.exe <br />ztconfig.exe <br />woool.exe <br />wooolcfg.exe <br /><br /></p> <p>Завершает процессы других вредоносных программ: </p> <p>sxs.exe <br />lying.exe <br />logo1_.exe <br />logo_1.exe <br />fuckjacks.exe <br />spoclsv.exe <br />nvscv32.exe <br />svch0st.exe <br />c0nime.exe <br />iexpl0re.exe <br />ssopure.exe <br />upxdnd.exe <br />wdfmgr32.exe <br />spo0lsv.exe <br />ncscv32.exe <br />iexplore.exe <br />iexpl0re.exe <br />ctmontv.exe <br />explorer.exe <br />internat.exe <br />lsass.exe <br />smss.exe <br />svhost32.exe <br />rundl132.exe <br />msvce32.exe <br />rpcs.exe <br />sysbmw.exe <br />tempicon.exe <br />sysload3.exe <br />run1132.exe <br />msdccrt.exe <br />wsvbs.exe <br />cmdbcs.exe <br />realschd.exe <br /><br /></p> <p>Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли: </p> <p>&quot;&quot; <br />&quot;admin&quot; <br />&quot;1&quot; <br />&quot;111&quot; <br />&quot;123&quot; <br />&quot;aaa&quot; <br />&quot;12345&quot; <br />&quot;123456789&quot; <br />&quot;654321&quot; <br />&quot;!@#$&quot; <br />&quot;asdf&quot; <br />&quot;asdfgh&quot; <br />&quot;!@#$%&quot; <br />&quot;!@#$%^&quot; <br />&quot;!@#$%^&amp;&quot; <br />&quot;!@#$%^&amp;*&quot; <br />&quot;!@#$%^&amp;*(&quot; <br />&quot;!@#$%^&amp;*()&quot; <br />&quot;qwer&quot; <br />&quot;admin123&quot; <br />&quot;love&quot; <br />&quot;test123&quot; <br />&quot;owner&quot; <br />&quot;mypass123&quot; <br />&quot;root&quot; <br />&quot;letmein&quot; <br />&quot;qwerty&quot; <br />&quot;abc123&quot; <br />&quot;password&quot; <br />&quot;monkey&quot; <br />&quot;password1&quot; </p> <p>В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает. </p> <p>Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например: <br />Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949<br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=154207" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=154207</a></span></p> mybb@mybb.ru (qwa) Sun, 12 Oct 2008 13:01:21 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=21#p21 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=20#p20 <p>(Downloader.Tibs.5.BI, Downloader.Tibs.5.BJ, Email-Worm.Win32.Zhelatin.fc, Email-Worm.Win32.Zhelatin.fk, Email-Worm.Win32.Zhelatin.fl, Packed.Win32.Tibs.ab, Packed.Win32.Tibs.al, Packed.Win32.Tibs.an, Possible_Nucrp-3, SpamTool.Win32.Agent.af, TROJ_PACKED.JW, TROJ_SMALL.FYT, TROJ_SMALL.KAC, TROJ_TIBS.AKK, Trojan-Downloader.Win32.Tibs.mq, Trojan.Peed.HYP, Trojan.Peed.HYR, Trojan.Peed.OK, Trojan.Peed.OL, Trojan.Peed.ON, Trojan.Peed.OP, Virus.Win32.KME, W32/Tibs.TV, Win32/Sinteri!downloader, Win32/Sintun)<br />Тип вируса: Специальная запись, позволяющая детектировать широкий спекр вредоносных программ, в которых используется определённый тип упаковщика. Чаще всего данный тип вредоносной программы распространяет <a href="http://info.drweb.com/virus_description/136713" rel="nofollow" target="_blank">BackDoor.Groan</a><br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=157409" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=157409</a></span></p> mybb@mybb.ru (qwa) Sat, 11 Oct 2008 17:40:35 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=20#p20 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=19#p19 <p>(Backdoor.Win32.Agent.ky, Generic PWS.o, PWS-Banker.an, PWS-Goldun, PWS-Goldun.dll, PWS-Goldun.dr, PWS-Goldun.sys, PWSteal.Raidys, PWSteal.Trojan, Spy-Agent.k, Trojan Horse, Trojan-Spy.Win32.Banker.aft, Trojan-Spy.Win32.Goldun.az, Trojan-Spy.Win32.Goldun.bw, Trojan-Spy.Win32.Goldun.cj, Trojan-Spy.Win32.Goldun.dc, Trojan-Spy.Win32.Goldun.ds, Trojan-Spy.Win32.Goldun.dt, Trojan-Spy.Win32.Goldun.fo, Trojan-Spy.Win32.Goldun.gt, Trojan.Bankem, Trojan.Goldun, Win32/Goldun.82660!Trojan, Win32/Haxdoor.Variant!Trojan)<br />Тип вируса: Вредоносная программа для похищения паролей к банковским системам<br />Уязвимые ОС: Win NT-based<br />Размер: примерно 8 - 50 Кбайт<br />Упакован: FSG, UPX, PECRYPT, MEW</p> <p><span style="display: block; text-align: center">Техническая информация</span></p> <p>&#160; &#160; * Обычно устанавливается с помощью либо загрузчиков, либо инсталляторов (дропперов).</p> <p>&#160; &#160; * При своём запуске, в зависимости от модификации, используют следующие механизмы инфицирования системы:<br />&#160; &#160; &#160; 1) Устанавливает динамическую библиотеку, модифицируя при этом исполняемый файл Internet Explorer (iexplore.exe - c:\Program Files\Internet Explorer\). Таким образом, загрузка библиотеки будет автоматически происходить при запуске Internet Explorer.</p> <p>&#160; &#160; &#160; 2) Устанавливает в системный каталог Winsdows (%systemroot%\system32) динамическую библиотеку (без модификации исполняемого файла Internet Explorer) и драйвер для сокрытия своего присутствия в инфицированной системе.</p> <p>&#160; &#160; * Для обсеспечения своей загрузки при кадом старте Windows, регистрирует устанавливаемую библиотеку в системном реестре:<br />&#160; &#160; &#160; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs: &quot;[path-to-goldspy-dll]&quot;</p> <p>&#160; &#160; * Перехватывает HTTP-запросы, отслеживая при этом обращения к аккаунтам различных банковских систем, список которых находится в теле Trojan.PWS.GoldSpy. Похищенную информацию отсылает злоумышленнику.<br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=9582" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=9582</a></span></p> mybb@mybb.ru (qwa) Sat, 11 Oct 2008 17:17:11 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=19#p19 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=18#p18 <p>(INF/Slogod.A, VBS.Flesh.A, VBS/Butsur, VBS/IE-Title, VBS/Slogod, VBS/Solow, VBS_SOLOW.A, Worm.VBS.Solow.A, Worm.VBS.Solow.a)<br />Тип вируса: Червь, написанный на языке Visual Basic Script</p> <p>Уязвимые ОС: Win95/98/Me/2000/XP</p> <p>Размер файла: 1 906, 3 642</p> <p>Упакован: Unicode</p> <p>Техническая информация</p> <p># Известны две модификации данной вредоносной программы.</p> <p># При своём запуске выполняет следующие действия:</p> <p>1. Создаёт свои копии в корневом каталоге логических дисков и каталоге Windows с именем MS32DLL.dll.vbs и атрибутом &quot;Скрытый&quot;.<br />2. Создаёт файл autorun.inf, в котором указывается исполнение MS32DLL.dll.vbs при переходе на другой логический диск в файловом менеджере. Таким образом, в контекстном меню дисков будет главным пунктом будет &quot;Автозапуск&quot;.<br />3. Копирует файлы MS32DLL.dll.vbs и autorun.inf на flash-накопители, если таковые оказались подключёнными к компьютеру на момент заражения.<br />4. Модифицирует системный реестр для обеспечения автозапуска своей копии:</p> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS32DLL</p> <p>C:\WINDOWS\MS32DLL.dll.vbs<br />Вторая модификация VBS.Generic.544 модифицирует системный реестр следующим образом:</p> <p>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fucker C:\WINDOWS\fucker.vbs</p> <p>5. Во все активные окна Internet Explorer вставляет строку &quot;Hacked by Godzilla&quot;.<br />Во второй модификации VBS.Generic.544 вместо &quot;Hacked by Godzilla&quot; присутствует строка &quot;Malaysian Hackers&quot;</p> <p><span style="display: block; text-align: center">Информация по восстановлению системы</span></p> <p>Восстановить реестр можно с помощью следующего сценария:</p> <p>--8&lt;------------------------------------------------------------------<br />REGEDIT4</p> <p>[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]<br />&quot;Start Page&quot;=&quot;about:blank&quot;<br />&quot;Window Title&quot;=-</p> <p>--8&lt;------------------------------------------------------------------</p> <p>Необходимо создать .reg-файл, содержащий указанный сценарий и запустить его на исполнение. При этом необходимые изменения будут внесены в реестр.<br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=133546" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=133546</a></span></p> mybb@mybb.ru (qwa) Sat, 11 Oct 2008 17:14:06 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=18#p18 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=17#p17 <p>(Email-Worm.VBS.Small.e, VBS.Mailer.Gen, I-Worm.VBS.virus, VBS/GenMail.A, VBS.Alein@mm)<br />Тип вируса: Почтовый червь массовой рассылки, написанный на языке Visual Basic Script<br />Уязвимые ОС: Win95/98/Me/2000/XP<br />Размер файла: примерно 5 Кб<br />Упакован: Нет</p> <p><span style="display: block; text-align: center">Техническая информация</span></p> <p>При своём запуске создаёт в системном каталоге файл C:\Windows\System файл Gigabyte.vbs.<br />Прописывается в автозагрузку, создавая ключи в реестре:<br />HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Gigabyte и<br />HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Gigabyte</p> <p>Помимо своей основной функции - распространения по электронной почте посредством вызова почтового клиента MS Outlook, вирус содержит набор деструктивных функций:</p> <p>1. Блокирует запуск редактора реестра RegEdit.<br />2. Форматирует жёсткие диски (только для Win9x).<br />3. Удаляет пункты меню Пуск: Программы, Завершение работы, Найти, Выполнить, Документы и т.д.<br />4. Отключает клавиатуру и мышь (только для Win9x).<br />5. Переназначает кнопки мыши.<br />6. Удаляет специальные папки Documents and Settings.<br />7. Перезагружает компьютер (только для Win9x).<br />8. Изменяет стартовую страницу браузера.</p> <p>Кроме того, вирус содержит функцию сворачивания всех активных окон, а также выводит окно запроса пароля.<br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=114360" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=114360</a></span></p> mybb@mybb.ru (qwa) Sat, 11 Oct 2008 17:10:04 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=17#p17 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=6#p6 <p>(W32/HLLP.Philis.ini)</p> <p>Специальная запись, определяющая файл _desktop.ini. Данный файл устанавливают модификации семейства Win32.HLLW.Gavir во все подкаталоги на всех жёстких дисках при заражении исполняемых файлов. <br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=135553" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=135553</a></span></p> mybb@mybb.ru (qwa) Sat, 11 Oct 2008 15:38:20 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=6#p6 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=5#p5 <p>(PE_NESHTA.A, Virus.Win32.Neshta.a, W32.Neshuta, W32/Generic.Delphi.c, W32/HLLP.41472, W32/HLLP.41472 - Packed, Win32.Neshta.A)</p> <p>Добавлен в вирусную базу Dr.Web: 2005-12-01 18:25:00</p> <p><span style="display: block; text-align: center"><strong>Описание<br /></strong></span><br />Win32.HLLP.Neshta - файловый вирус. Написан в среде программирования Borland Delphi. Размер вируса 41472 байта.</p> <p><span style="display: block; text-align: center"><strong>Распространение<br /></strong></span><br />Заражает файлы EXE PE, размер которых не меньше 41472 байт.<br />При заражении пишет себя в начало жертвы, а оригинальное начало переносит в конец файла. Часть перенесенного блока (первые 1000 байт) шифрует.</p> <p>Копирует себя в папку windows под именем svchost.com.</p> <p>Содержит строчку:<br />Neshta 1.0 Made in Belarus. <br /><span style="font-size: 8px">Взято с <a href="http://vms.drweb.com/virus/?i=468" rel="nofollow" target="_blank">http://vms.drweb.com/virus/?i=468</a></span></p> mybb@mybb.ru (qwa) Fri, 10 Oct 2008 21:30:37 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=5#p5 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=3#p3 <p>Вот <a href="http://www.freedrweb.com/demo/" rel="nofollow" target="_blank">тут</a> можно попробовать Dr. Web</p> mybb@mybb.ru (qwa) Wed, 08 Oct 2008 17:25:17 +0400 http://viruseasyforumru.mybb.forum/viewtopic.php?pid=3#p3