Вирусы.

[Bonus]

Trojan.Win32. Killav.k

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 11264 байта. Упакована UPX. Распакованный размер — около 24 КБ. Написана на C++.

Деструктивная активность

После запуска троянец с периодом в одну секунду выполняет следующие действия на зараженном компьютере:

* завершает все процессы, в именах которых есть строки:

ANTIVIR
WEBSCANX
SAFEWEB
ICMON
CFINET
CFINET32
AVP.EXE
LOCKDOWN2000
AVP32
ZONEALARM
ALERTSVC
AMON.EXE
AVPCC.EXE
AVPM.EXE
ESAFE.EXE
PCCIOMON
PCCMAIN
POP3TRAP
WEBTRAP
AVCONSOL
AVSYNMGR
VSHWIN32
VSSTAT
NAVAPW32
NAVW32
NMAIN
LUALL
LUCOMSERVER
IAMAPP
ATRACK
MCAFEE
FRW.EXE
IAMSERV.EXE
NSCHED32
PCFWALLICON
SCAN32
TDS2-98
TDS2-NT
VETTRAY
VSECOMR
NISSERV
RESCUE32
SYMPROXYSVC
NISUM
NAVAPSVC
NAVLU32
NAVRUNR
NAVWNT
PVIEW95
F-STOPW
F-PROT95
PCCWIN98
IOMON98
FP-WIN
NVC95
NORTON

* ищет в системе окно «Диспетчера задач» и завершает работу этой утилиты.

Другие названия

Trojan.Win32.Killav.k («Лаборатория Касперского») также известен как: ProcKill-O (McAfee), Trojan.KillAV (Symantec), Trojan.AVKill.24576 (Doctor Web), Troj/KillAVP-K (Sophos), Trojan:Win32/Killav.K (RAV), TROJ_KILLAV.K (Trend Micro), Win32:Trojan-gen. (ALWIL), Trojan.Win32.Killav.K (SOFTWIN), Trojan Horse (Panda), Win32/AVDet.A (Eset)

 

[Bonus]

Backdoor.Win32. Rbot.bn

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 50176 байт. Написана на Ассемблере.

Инсталляция

После запуска, используя имя своего оригинального файла и путь к нему, троянец генерирует в системном реестре GUID, который служит для регистрации вируса в системе:

[HKCRCLSID{%GUID%}]
"(default)" = ""

[HKCRCLSID{%GUID%}LocalServer32]
"(default)" = ""

Также при запуске бэкдор производит копирование своего тела в системный каталог Windows под именем «irdvxc.exe»:

%System%irdvxc.exe

Далее с интервалом в 2 секунды созданная копия запускается с параметрами командной строки в указанном порядке:

%System%irdvxc.exe /installservice
%System%irdvxc.exe /start

При этом копия бэкдора также создает записи в системном реестре, используя новый путь к вредоносному файлу:

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
"(Default)" = "svxqqbkhrbsqsjhq"

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
"(Default)" = "%System%irdvxc.exe"

При выполнении команды "/installservice" с помощью «Диспетчера служб» Windows происходит регистрация файла бэкдора в виде системной службы, которая запускается атоматически при загрузке системы.

Имя службы: "MSDisk"; полное имя службы: "Network helper Service"; описание службы: "Network service for disk management requests".

При регистрации данной службы в реестре создается следующий ключ:

[HKLMSystemCurrentControlSetServicesMSDisk]

При выполнении команды "/start" происходит запуск зарегистрированной службы.

Также бэкдор создает уникальный идентификатор "jhdgcjhasgdc09890gjasgcjhg2763876uyg3fhg" для определения своего присутствия в системе.

Деструктивная активность

Каждые 50 миллисекунд бэкдор создает потоки, через которые (в случае доступности сети) выполняется соеднение с серверами:

Starman
www.if.ee

После 256 произведенных соединений, в случае сообщения каким-либо сервером об ошибке, связанной с временной недоступностью ресурса, происходит полусекундная пауза в создании соединений.

Бэкдор размножается при помощи использования уязвимости Microsoft Windows DCOM RPС (MS03-026).

Вирус совершает процедуры отбора IP-адресов для атаки и, в случае наличия на атакуемом компьютере указанной уязвимости, запускает в его системе вредоносный код.

В противном случае бэкдор производит попытки подбора следующих паролей для подключения под логинами Administrator и Admin:

Admin
root
asdfgh
password
00
000
0000
00000
000000
0000000
00000000
1
12
123
1234
12345
123456
1234567
12345678
123456789
secret
secure
security
setup
shadow
shit
sql
super
sys
system
abc123
access
adm
alpha
anon
anonymous
backdoor
backup
beta
bin
coffee
computer
crew
database
d***g
default
demo
X
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
new
newpass
nick
nobody
nopass
oracle
pass
passwd
server
poiuytre
private
public
qwerty
random
real
remote
ruler
telnet
temp
test
test1
test2
visitor
windows

В случае успешного подключения к атакуемой машине троянец копирует свой исполняемый файл в системный каталог Windows и запускает его на исполнение.

 

[Bonus]

Trojan-PSW.Win32. LdPinch.bpk.

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер 28289 байт. Упакована PECompact2. Размер распакованного файла — около 260 КБ. Написана на Ассемблере.

Инсталляция

После запуска троянец добавляет следующую запись в системный реестр:

[HKLMSystemControlSet001ServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList]
"" = ":*:
Enabled:"

Деструктивная активность

Вирус представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих программ:

1. Клиентов систем мгновенного обмена сообщениями:

* Miranda IM

Троянская программа считывает путь к установленой Miranda IM из раздела реестра:

[HKLMSoftwareMiranda]
Install_Dir

Ищет в нем файлы с расширением DAT и похищает их содержимое.

* Mirabilis ICQ

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

[HKCUSoftwareMirabilisICQNewOwners]
[HKLMSoftwareMirabilisICQNewOwners]

* Trillian

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallTrillian]

Читает содержимое файла «usersglobalprofiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».

* QIP

Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке «Users» все имеющиеся папки:

[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallQ2005]
[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallQIP2005]
[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
"qip.exe"

После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:

Password
NPass

* Mail.Ru Agent

Получает значения всех подключей ключа реестра:

[HKCUSoftwareMail.RuAgentmra_logins]

2. Почтовых клиентов:

* The Bat

Для этого ищет в папках:

%UserProfile%Application DataBatMail
%UserProfile%Application DataThe Bat!

или ключах реестра:

[HKCUSoftwareRITThe Bat!]
Working Directory
ProgramDir

следующие файлы:

account.cfg
account.cfn

Из них похищает учетные записи и пароли к ним.

* Outlook

По данным из ключа:

[HKCUSoftwareMicrosoftWindows NTCurrentVersion
Windows Messaging SubsystemProfilesOutlook]

3. FTP-служб:

* CuteFTP

Из файлов:

sm.dat
tree.dat
smdata.dat

* SmartFTP

Из файлов:

%UserProfile%Application DataSmartFTPClient 2.0Favorites
Favorites.dat
%UserProfile%Application DataSmartFTPFavorites.dat
%UserProfile%Application DataSmartFTPHistory.dat

похищает следующие значения:

HostName
Port
Username
Password
ItemName

4. FTP-соединений файловых менеджеров:

* Total Commander
* Windows Commander

Вирус получает путь к ним из следующих ключей реестра:

[HKCUSoftwareGhislerWindows Commander]
[HKCUSoftwareGhislerTotal Commander]
[HKLMSoftwareGhislerWindows Commander]
[HKLMSoftwareGhislerTotal Commander]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander]
UninstallString
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall
Total Commander XP]
UninstallString
[HKCUSOFTWAREMicrosoftWindowsShellNoRoamMUICache]
Totalcmd.exe

Также ищет файл «ProfilesProfftp.ini». В нем троянец ищет следующие параметры и получает их значения:

host
username
password
directory
method В

Получает путь к WS_FTP из «%WinDir%win.ini», после чего считвает содержимое файла «wc_ftp.ini».

5. Интернет-браузеров:

* Opera Из файлов:

%UserProfile%Application DataOperaprofilewand.dat
%UserProfile%Application DataOperaMailaccounts.ini

* Mozilla Firefox

Из файла:

%UserProfile%Application DataMozillaprofiles

* Thunderbird

Из файла «%UserProfile%Application DataThunderBirdprofiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

* FileZilla

Получая путь к папке с установленным FileZilla из нижеприведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:

[HKCUSoftwareFileZilla]
Install_Dir

Троянец читает из файла «%UserProfile%Application DataQualcommEudoraEudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Вредоносная программа получает значения следующих параметров из файла «%WinDir%edialer.ini»:

LoginSaved
PasswordSaved

Похищает содержимое файла «%UserProfile%Application Data.gaimaccounts.xml».

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец читает содержимое файлов:

%WinDir%VD3User.dat
%WinDir%Vd3main.dat

Данные из ключа:

[HKCUSoftwareCoffeeCup SoftwareInternetProfiles]

Троянская программа читает значение параметра в ключе реестра:

[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCUSOFTWAREMicrosoftWindowsShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке «%UserProfile%Мои документы» файлы с расширением «.rdp» и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache]

параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».

Если не находит, то получает значение ключа реестра:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallRQ] UninstallString

И также использует его для поиска «andrq.ini».

Троянская программа получает путь к папке из следующего ключа реестра:

[HKCUSoftwareRimArtsB2Settings]

Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Получает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:

[HKCUSoftwarePunto Switcher]

С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками :

Create rule for
Kaspersky Anti-Hacker - Create a rule for
Kaspersky Anti-Hacker - Создать правило для
Создать правило для
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Путем нажатия на соответствующие кнопки разрешает шпиону запрашиваемое действие.

Для этого троянец ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:

«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action.

Также закрывает окна с именем класса AVP.Product_Notification.

Собранную информацию в виде отчетов вирус отправляет по HTTP с помощью ссылки:

www.montecarlo.122mb.com/*****.php

Оттуда данные пересылаются на почтовый адрес злоумышленника:

***@mail.ru

 

[Bonus]

Trojan-Downloader. Win32.Tiny.ev.

Троянская программа, которая загружает на компьютер без ведома пользователя файлы из сети Интернет и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 2641 байт.

Деструктивная активность

При запуске троянец открывает при помощи браузера следующую ссылку:

****************

Вирус запускает копию системного процесса «svchost.exe» и внедряет в него свой код, который скачивает файлы по следующим ссылкам:

http://www.*****publicidad.com/images/images.php?w=1
http://www.*****publicidad.com/images/images.php?w=2
http://www.*****publicidad.com/images/images.php?w=3
http://www.*****publicidad.com/images/images.php?w=4

Данные файлы сохраняются в рабочей папке троянца под соответствующими именами:

* win1ogon.exe — имеет размер 11305 байт, детектируется антивирусом Касперского как Trojan-Spy.Win32.Iespy.ag;
* mshelper.exe — имеет размер 43008 байт, детектируется антивирусом Касперского как Trojan-Proxy.Win32.Daemonize.cf;
* dxinstall.exe — имеет размер 51200 байт, детектируется антивирусом Касперского как Email-Worm.Win32.Bagle.is;
* msofficer.exe — имеет размер 245760 байт, детектируется антивирусом Касперского как Backdoor.Win32.Delf.akw.

После успешной загрузки файлы запускаются на исполнение.

По окончании своей работы вирус удаляет собственный исполняемый файл.

 

[Bonus]

Trojan-Dropper.VBS. Bomgen.s

Троянская программа, которая без ведома пользователя инсталлирует другие вредоносные программы на зараженный компьютер и запускает их на исполнение. Написана на Visual Basic Script. Имеет размер 7514 байт.

Деструктивная активность

При запуске троянец извлекает из своего тела следующий файл в собственный рабочий каталог:

%Work%JF8BY2.bat

Данный файл имеет размер 2088 байт, детектируется Антивирусом Касперского как Virus.BAT.Bomgen.

Далее извлеченный файл запускается на исполнение.

Другие названия

Trojan-Dropper.VBS.Bomgen.s («Лаборатория Касперского») также известен как: TrojanDropper.VBS.Bomgen.s («Лаборатория Касперского»), VBS/Piky (McAfee), VBS/Bomgen.S.gen* (RAV)

 

[Bonus]

Trojan-Spy.Win32. Iespy.ag

Троянская программа, которая следит за действиями пользователя в сети Интернет. Является приложением Windows (PE EXE-файл). Имеет размер 11305 байт.

Инсталляция

При запуске троянец извлекает из своего тела файл (библиотеку Windows) размером 7680 байт:

%System%mswapi.dll

Вирус регистрирует данный файл в системе, после чего удаляет свой оригинальный файл.

Указанная библиотека регистрирует себя как Browser Helper Object, создавая при этом соответствующий ключ реестра:

[HKCRCLSID{e3a729da-eabc-df50-1842-dfd682644311}]

Деструктивная активность

Будучи подгруженной в процесс «iexplore.exe», троянская библиотека следит за открываемыми пользователем веб-страницами и транслирует на сайт злоумышленника следующую информацию:

* IP-адрес зараженной машины;
* посещаемые URL;
* заголовки посещаемых страниц;
* HTML-содержимое открытых страниц.

 

[Bonus]

Trojan-Proxy.Win32. Daemonize.cd

Троянская программа, позволяющая злоумышленнику использовать зараженную машину в качестве прокси-сервера, то есть работать в сети от имени «зараженного» хоста. Является приложением Windows (PE EXE-файл). Имеет размер 43008 байт. Написана на Visual C++.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под именем «svchost.exe»:

%WinDir%svchost.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"SVCHOST Generic application" = "%WinDir%svchost.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус запускает proxy-сервер на машине жертвы. При этом злоумышленник имеет возможности конфигурирования следующих параметров:

* запуск в резидентном режиме;
* установка способа для сбора записи информации в лог;
* установка IP-адреса для входящих и исходящих соединений.

Также троянец открывает следующие ссылки, пытаясь обмануть пользователя и выдать себя за системный сервис, проверяющий доступ к Интернету:

Vistachecker.com
http://windowsupdate.microsoft.com/
Microsoft Panama | Dispositivos y servicios

 

[Bonus]

Backdoor.Win32. Delf.akw

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 245760 байт. Написана на Delphi.

Инсталляция

При запуске троянец создает в системном каталоге Windows («%System%)» файл под именем «service.exe» (размер — 182941 байт) и запускает его на выполнение со следующими ключами:

service.exe /install /silence

Бэкдор добавляет службу c именем «r_server» в системный реестр:

[HKLMSoftwareCurrentControlSetServicesr_server]
"Start" = "dword:0x00000002"
"ImagePath" = "%System%service.exe /service"
"DisplayName" = "Remote Administrator Service"

При последующем запуске системы троянский сервис запускается автоматически.

Деструктивная активность

После инсталляции троянец запускается с указанием «прослушиваемого» порта и паролем доступа:

service.exe /pass:SXX13CVV2 /port:4899 /save /silence

Бэкдор предоставляет доступ к удаленному компьютеру через Telnet-протокол. Имеет возможность обеспечения доступа к файлам на компьютере пользователя, а также удаленного управления системой.

 

[Bonus]

Virus.DOS. Chameleon.1260

Нерезидентная полиморфная вредононая программа, которая находит и заражает исполняемые COM-файлы. Программа является приложением DOS (COM-файл). Вирус является одним из первых известных полиморфик-вирусов. Размер оригинального вредоносного кода — 1260 байт. Ничем не упакован. Написан на Ассемблере.

Деструктивная активность

После запуска вирус выполняет поиск в текущем каталоге файлов, соответствующих файловой маске «*.com». Все найденные файлы проверяются на соответствие следующим условиям: размер файла не равен 10 или 63488 байтам, младшие 5 бит поля файлового времени содержат единичные значения.

Инфицирование происходит следующим образом: зашифрованное тело вируса длиной в 1260 байт (для каждого экземпляра заражаемого файла шифрование производится ключом, зависящим от значения системного таймера) дописывается в конец файла-жертвы, а в его начало записываются 3 байта перехода на тело вируса. Перед изменением инфицируемого файла сохраняются его атрибуты, а также дата и время создания файла; все они восстанавливаются после заражения.

Другие названия

Virus.DOS.Chameleon.1260 («Лаборатория Касперского») также известен как: Chameleon.1260 («Лаборатория Касперского»), V2PX.1260a (McAfee), v2px.1256b (Symantec), V2Px.1260 (Doctor Web), Poetcode (Sophos), V2PX.1246 (RAV), V2P2-1 (Trend Micro), V2Px (H+BEDV), V2PX.1260 (FRISK), V2P2 (ALWIL), V2PX (Grisoft), V2PX.1246 (SOFTWIN), V2P2 (Panda)

 

[Bonus]

Email-Worm.Win32. Warezov.pb

Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 101914 байт. Упакован с помощью Upack, распакованный размер — около 266 КБ.

Инсталляция

При запуске червь отображает на экране компьютера следующее окно:

Unknown Error

Затем копирует свой исполняемый файл в системный каталог Windows под именем «mscmippr.exe»:

%System%mscmippr.exe

Создает следующий файл размером 114688 байт:

%System%mscmippr.dll

Также вирус создает ключ в системном реестре:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifymscmippr]
"DllName" = "%System%mscmippr.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма


Mail sever report.

Текст письма

Do not reply to this message

Dear Customer,

Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have
patches at the moment. We recommend you to install a firewall module and it will
stop e-mail sending. Otherwise your account
will be blocked until you do not eliminate malfunction.

Customer support center robot

Имя файла-вложения

В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:

Update-KB-x86.exe

Деструктивная активность

Действия основного модуля червя

Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Червь производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.

Действия рассылаемого по почте компонента

Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.

Рассылаемый червем компонент скачивает по заложенной в него ссылке самую последнюю модификацию Warezov.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.

 

[Bonus]

Worm.Win32. RussoTuristo.b

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 53326 байт. Упакован UPX. Размер распакованного файла — около 130 КБ. Написан на Delphi.

Инсталляция

При запуске червь копирует себя в каталог «%WinDir%cursors» под именем «services.exe»:

%WinDir%Cursorsservices.exe

С целью сокрытия расширений файлов устанавливаются следующие значения в реестре:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "dword:0x00000000"
"HideFileExt" = "dword:0x00000001"
"Hidden" = "dword:0x00000000"

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions" = "dword:0x00000001"

Также вирус отключает использование системных утилит:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableCMD" = "dword:0x00000001"
"DisableRegistryTools" = "dword:0x00000001"

И добавляет значение в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Service" = "%WinDir%Cursorsservices.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл червя.

Деструктивная активность

Червь копирует свой исполняемый файл в каждую найденную на всех жестких дисках папку пользователя под именем файла, совпадающим с именем папки.

При этом каждая копия червя имеет иконку папки.

 

[Bonus]

Trojan.Win32. Killav.an

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 13824 байта. Упакована UPX. Распакованный размер — около 32 КБ. Написана на C++.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows под следующими именами:

%System%NavbwvLw32.Exe
%System%Winscrl0n3.Scr
%System%LwBWV60.dll

С целью автоматического запуска при последующих стартах системы вирус добавляет ссылку на свою копию в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"(Default)" = "%System%NavbwvLw32.Exe"

Деструктивная активность

При запуске троянская программа ищет в системе окна со следующими именами:

Norton AntiVirus
VirusScan
eSafe Desktop Watch
eTrust EZ AntiVirus
Panda AntiVirus Titanium
PC-Cillin 2002
PC-Cillin 2003
F-Secure Anti-Virus
Sophos AntiVirus
ZoneAlarm
ZoneAlarm Pro
Tiny Personal Firewall
McAfee Firewall
Norton Personal FireWall

В случае обнаружения указанных окон троянец закрывает их, затем завершает свою работу.

Другие названия

Trojan.Win32.Killav.an («Лаборатория Касперского») также известен как: W32/BackZat.worm.gen (McAfee), Trojan Horse (Symantec), Trojan:Win32/Killav.AN (RAV), TROJ_KILLAV.AN (Trend Micro), Trojan.Killav.AN (SOFTWIN), Trojan Horse (Panda), Win32/KillAV.AN (Eset)

 

[Bonus]

Trojan-Downloader.Win32. Tiny.is

Троянская программа, которая загружает на компьютер файлы из сети Интернет без ведома пользователя и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 3584 байта.

Деструктивная активность

При запуске троянец проверяет местоположение своего исполняемого файла в файловой системе. Путь к данному файлу должен выглядеть следующим образом:

Windowscfginst.exe

Если путь верен, вирус скачивает файл по следующей ссылке:

http://www.papago.com.tw/mapcenter/****msg.htm

И сохраняет его как:

windowsdatacfginst.ldt

 

[Bonus]

Trojan-PSW.Win32. Tapiras.a

Программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 77824 байта. Написана на С++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем «tapiras.exe»:

%System%tapiras.exe

Вирус передает управление данному файлу и удаляет свой оригинальный файл.

С целью автоматического запуска при последующих стартах системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"tapiras.exe" = "tapiras.exe"

Деструктивная активность

Троянская программа похищает следующие данные с зараженного компьютера:



* информацию о пользователе, имени компьютера и типе установленной ОС;
* сведения о номерах учетных записей ICQ, которые хранятся в реестре;
* информацию о модемных соединениях, которая хранится в реестре;
* список часто посещаемых URL;
* пароли, сохраненные в системном кэше.

При подключении инфицированной машины к сети Интернет троянец каждую минуту отправляет похищенную информацию на электронные адреса злоумышленника:

***[email protected]
***[email protected]

Другие названия

Trojan-PSW.Win32.Tapiras.a («Лаборатория Касперского») также известен как: Trojan.PSW.Tapiras.a («Лаборатория Касперского»), PWS (McAfee), PWSteal.Trojan (Symantec), Trojan.Tapiras (Doctor Web), Troj/Tapiras (Sophos), PWS:Win32/Tapiras.A (RAV), TROJ_PSW.TAPIR.A (Trend Micro), TR/PSW.Tapiras.A (H+BEDV), Win95:Tapiraz (ALWIL), Trojan.PSW.Tapiras.A (SOFTWIN), Trojan.PSW.Tapiras.A (ClamAV), Trj/Tapiras.A (Panda), Win32/PSW.Tapiras.a (Eset)

 

[Bonus]

Worm.Win32. Agent.i

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 71168 байт. Упакован при помощи UPX, распакованный размер — около 240 КБ.

Инсталляция

При запуске червь создает следующую папку:

%System%ace

Вирус извлекает в свою рабочую папку файл и запускает его на исполнение:

WinTask.exe

Данный файл имеет размер 65586 байт, детектируется антивирусом Касперского как Trojan.Win32.Enfal.d.

С целью автоматического запуска при последующем стартах системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
Shell = ""

А также устанавливает следующее значение ключа реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
ShowSuperHidden = 0

Деструктивная активность

Червь производит на всех разделах жесткого диска поиск файлов с расширениями:

.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc

При нахождении подобных файлов вредоносная программа копирует их в папку «%System%acetemp». Затем извлекает из своего тела утилиту для архивирования файлов:

%System%NtApi.exe

И с ее помощью архивирует содержимое указанной папки. Заархивированные файлы сохраняются в папку:

%System%aceudis

Архивы имеют расширение «.uda» и имена, соответствующие именам папок, в которых были найдены исходные файлы с вышеназванными расширениями.

Распространение

Червь копирует свой исполняемый файл с именем «Netsvcs.exe» в корневые папки всех логических дисков и устанавливает для него атрибуты «Скрытый» и «Системный». Вирус создает в корневых папках разделов файл «autorun.inf», который при открытии разделов в «Проводнике» Windows запускает исполняемый файл червя. Также червь создает файл «thumbs.db» (в том же месте, что и «autorun.inf») и записывает в него свои настройки.

На сьемных дисках червь создает папку с именем:


System Volume Information

И копирует в нее содержимое папки «%System%aceudis», т.е. архивы с найденными на компьютере жертвы документами.

 

[Bonus]

Worm.Win32. Perlovga.a

Червь, который копирует себя и другие вредоносные программы в системные папки. Является приложением Windows (PE EXE-файл). Имеет размер 1221 байт. Упакован при помощи MEW, распакованный размер — около 98 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%xcopy.exe

Деструктивная активность

Вирус копирует следующие файлы из своей рабочей папки:

%WorkDir%host.exe
%WorkDir%autorun.inf

в корневой каталог Windows:

%WinDir%svchost.exe
%WinDir%autorun.inf

Затем запускает на исполнение файл:

%WinDir%svchost.exe

На этом работа червя завершается.