29 марта 2024, 03:52:48

Новости:

Чтобы загрузить изображение нужно нажать кнопку "ПРЕДВАРИТЕЛЬНЫЙ ПРОСМОТР".


Компьютерные вирусы

Автор Foxeh, 13 февраля 2007, 01:27:29

0 Пользователей и 1 гость просматривают эту тему.

Ell

зафиксировано значительное присутствие в почтовом трафике различных разновидностей червя Email-Worm.Win32.Zhelatin.
червь рассылает себя с вашего адреса, после чего выгружает системные процессы.
в письмах рассылается с темами на английском языке.
НЕ ОТКРЫВАЙТЕ ПОДОЗРИТЕЛЬНЫЕ ВЛОЖЕНИЯ В ПИСЬМАХ, ДАЖЕ ОТ ДРУЗЕЙ!!!
Не придумывай себе одиночества (с)..

Sandra Nasic

Ell
Цитироватьчерез уязвимости в системе или если нет антивируса.

Значит, если есть антивирус, то можно быть спокойной? Я так поняла? Просто антивирус ничего подобного у меня не нашел...

Цитироватьзафиксировано значительное присутствие в почтовом трафике различных разновидностей червя Email-Worm.Win32.Zhelatin.
червь рассылает себя с вашего адреса, после чего выгружает системные процессы.

Он у меня когда-то был... Очень плохая штука. Жрет очень много, если его не удалить вовремя...

Ell

ну что, поехали? :)
за сегодня высокую активность проявили:

Trojan-Spy.Win32.RemoteSniffer.030
ЦитироватьТроянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде.

Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 160768 байт. Упакована при помощи UPX. Размер распакованного файла -- около 417 КБ.
Инсталляция

Троянская программа представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library).

Сервер копируется с конкретным именем в указанный злоумышленником каталог, а также добавляет себя в ключ автозапуска системного реестра. Имя данного ключа аналогично определяется злоумышленником:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>" = "<путь до троянской программы>"

Таким образом, при каждом последующем старте ОС автоматически запускает файл троянца.

для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить троянские файлы (их расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить значение из ключа автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>"


Trojan-Spy.Win32.RemoteSniffer.020
ЦитироватьТроянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде.

Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 181760 байт. Упакована при помощи UPX. Размер распакованного файла -- около 500 КБ.
Инсталляция

Троянец включает в себя приложение-сервер packetserver.exe (463360 байт), приложение-клиент packetclient.exe (181760 байт), а также редактор настроек сервера packetedit.exe (160768 байт).

Вирус представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library).

Сервер packetserver.exe копируется с определенным именем в указанный злоумышленником каталог и добавляет себя в ключ автозапуска системного реестра. Имя ключа также определяется злоумышленником:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>" = "<путь до троянской программы>"

для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить троянские файлы:
packetclient.exe
packetedit.exe
packetserver.exe
Удалить следующее значение из ключа автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>"


Trojan-Spy.Win32.KeyLogger.h
ЦитироватьТроянская программа, отслеживающая клавиатурный ввод пользователя. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер 376832 байта. Ничем не упакована. Написана на Borland Delphi.
Инсталляция

При запуске троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "<путь до троянской программы>"
Вирус регистрирует свой процесс как служебный.
Программа-шпион делает снимки экрана и собирает информацию о нажатиях клавиш клавиатуры.
Работает под Windows 95/98/Me.

для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующее значение из системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "<путь до троянской программы>"


данные предоставлены Лабораторией Касперского и ресурсом Viruslist
Не придумывай себе одиночества (с)..

Ell

20 марта 2007, 17:36:56 #13 Последнее редактирование: 20 марта 2007, 17:37:26 от Ell
[Для просмотра ссылки зарегистрируйтесь]
Цитировать
Троянец, который устанавливает на компьютере пользователя другое вредоносное программное обеспечение. Является приложением Windows (PE EXE-файл). Имеет размер 36352 байта. Упакован при помощи UPX. Размер распакованного файла -- около 67 КБ.


После инсталляции троянец извлекает из своего тела и запускает на исполнение следующие файлы:
%System%\svchostc.exe -- имеет размер 14336 байт, детектируется Антивирусом Касперского как not-a-virus:Server-Proxy.Win32.3proxy.041b;
%WinDir%\system.exe -- имеет размер 13824 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Tofger.e;
%WinDir%\msin32.dll (библиотека) -- имеет размер 3072 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Tofger.e.

Ссылка на один из данных файлов добавляется в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Online Service" = "%WinDir%\system.exe"

Таким образом, при каждом последующем старте Windows автоматически запускает троянский файл.

Также вирус генерирует файл «%WinDir%\sysini.ini», содержащий строку:
***Computer was successfully infected***
для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить созданные трояном файлы:
%System%\svchostc.exe
%WinDir%\system.exe
%WinDir%\msin32.dll
%WinDir%\sysini.ini
Удалить следующий параметр из ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Online Service" = "%WinDir%\system.exe"

данные предоставлены Лабораторией Касперского и ресурсом Viruslist
Не придумывай себе одиночества (с)..

Ell

Trojan.JS.Freq.g
ЦитироватьТроянская программа. Является HTML-файлом. Имеет размер 1824 байта.
При запуске троянец создает файл в корневом каталоге диска С:
C:\UPLDFILE.FTP
Данный файл содержит настройки для подключения к FTP-серверу с целью скачивания с него файлов.
Далее, используя утилиту ftp.exe и информацию из ранее созданного файла, вирус загружает другую программу со следующего FTP:
[Для просмотра ссылки зарегистрируйтесь] (на момент создания описания закачивания не происходило)
Троянец сохраняет скачанный файл в следующий каталог:
C:\windows\aolextras.exe (путь задан строго)
скачанный файл запускается на исполнение.
для ее удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
C:\windows\aolextras.exe
C:\UPLDFILE.FTP


Trojan.JS.KillMBR
ЦитироватьТроянская программа. Является HTML-файлом. Имеет размер 2316 байт.
При запуске троянец извлекает из свого тела в корневой каталог логического диска С: следующий файл:
С:\repair.dbg -- имеет размер 185 байт, детектируется Антивирусом Касперского как Trojan.JS.KillMBR.b
Данный файл содержит ассемблерные команды для сброса загрузочного сектора диска.
Далее в командной строке прописывается команда:
command /c echo q   >>c:\\repair.dbg
Она запускает на исполнение файл «repair.dbg».
для ее удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
С:\repair.dbg

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist
Не придумывай себе одиночества (с)..

Ell

19 апреля 2007, 14:36:24 #15 Последнее редактирование: 19 апреля 2007, 14:36:47 от Ell
Trojan.Win32.CDGluck
ЦитироватьТроянская программа, предназначенная для создания помех работе привода CD-ROM. Является приложением Windows (PE EXE-файл). Имеет размер 16394 байта.
После запуска троянец периодически производит в системе различные действия, препятствующие нормальной работе CD ROM-привода. Действия выполняются через интерфейс MCI и могут быть следующими:
открытие/закрытие привода;
остановка воспроизведения текущего трека аудио-CD;
перемещение указателя воспроизведения на случайную позицию в текущем треке.
для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist


от себя хочу добавить, что зверёк прикольный, мне понравился, по сути своей кроме сидюка ничего не трогает, но так как у меня два привода, он почему-то работал только с мастером, ведомый привод не трогал ни в каких комбинациях, что расстроило. недоработка однако ;)
Не придумывай себе одиночества (с)..

Ell

DoS.Linux.SSPing.10
ЦитироватьВредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Является исполняемым файлом Linux (ELF-файл). Имеет размер 14748 байт. Написана на С++.
Вирус осуществляет DoS-атаку на удаленный компьютер, адрес которого указывает злоумышленник в качестве входного параметра при запуске утилиты. Также программа позволяет задавать количество сетевых пакетов для отправки на удаленный компьютер с подменой адреса отправителя.

В результате работы приложения на атакуемом сервере могут возникать проблемы с обслуживанием сетевых подключений.
для ее удаления необходимо удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Сегодня, кстати, вирус "чернобыль" снова повесил кучу машин. Из года в год людей ничего не учит. ;)  
Не придумывай себе одиночества (с)..

Ell

вот ещё одно чудо :)

DoS.Perl.Shafolder
ЦитироватьВредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Представляет собой вредоносный сценарий, написанный на Perl. Имеет размер 1649 байт.
p>Используя уязвимость переполнения буфера при обработке входящих данных клиентами P2P-сетей Kazaa и Morpheus, вредоносная программа осуществляет DoS-атаку на удаленный компьютер. Адрес атакуемого компьютера задается злоумышленником при запуске программы.

В результате работы приложения на атакуемом узле могут возникнуть проблемы с обслуживанием сетевых подключений.

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist
Не придумывай себе одиночества (с)..

Ell

очаровашка

[Для просмотра ссылки зарегистрируйтесь]
ЦитироватьТроянская программа, предназначенная для дестабилизации работы операционной системы. Является приложением Windows (PE EXE-файл). Имеет размер 134144 байта. Упакована с помощью UPX, распакованный размер -- около 982 КБ.
При инсталляции троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"V" = "<имя и пусть до исполняемого файла троянца>"
Вирус отображает на экране компьютера следующее окно:
[Для просмотра ссылки зарегистрируйтесь]
Затем троянец удаляет все файлы с расширениями .EXE и .DLL из системного каталога Windows («%System%»).
Также удаляются файлы с расширениями .SYS, .INF и .CAT из каталога «%System%\drivers».
Вредоносная программа выполняет следующие команды:
Deltree *.* %system%
Deltree *.* %windir%
Это приводит к удалению всех файлов из каталогов «%System%» и «%WinDir%».
Описанные действия приводят к неработоспособности операционной системы.
Если ваш компьютер  оказался заражен данной вредоносной программой (и она еще не успела реализовать свой деструктивный функционал), то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметр в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"V" = "<имя и путь до исполняемого файла троянца>"

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist
Не придумывай себе одиночества (с)..

pressorerster

Ell
ЦитироватьВредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Представляет собой вредоносный сценарий, написанный на Perl. Имеет размер 1649 байт.
p>Используя уязвимость переполнения буфера при обработке входящих данных клиентами P2P-сетей Kazaa и Morpheus, вредоносная программа осуществляет DoS-атаку на удаленный компьютер. Адрес атакуемого компьютера задается злоумышленником при запуске программы.

В результате работы приложения на атакуемом узле могут возникнуть проблемы с обслуживанием сетевых подключений

Такое в данный момент может пройзойти ,только при древнем антивируснике.



По всем вопросам пишите по адресу gratispp@mail.ru