Бесплатные антивирусы

Троян, отправляющий письма на определённые адреса электронной почты. Программа является JavaScript-файлом размером 227 байт.
Действие

При действии скрипта происходит отправка письма с заголовком «your license», текстом «you bastard», адресом отправителя bill_gates@microsoft.com, адресом получателя support@avp.ru и копией по адресу id(at)drweb.ru.
Удаление

Удалить оригинальный файл трояна.

Троянская программа, скачивающая из интернета файлы и запускающая их без ведома пользователя. Представляет собой Java-класс. Может использоваться как исполняемый код в HTML-страницах. Имеет размер 2872 байта. Написана на Java.
Запуск

Троян действует по следующему сценарию:
Пытается загрузить файлы fgc32.exe и fgc64.exe с адреса www.***group.com
Сохраняет скачанные файлы:

Троянская программа. Написана на языке JavaScript. Является документом HTML. Имеет размер 1352 байта.
Действие

При загрузке страницы браузер автоматически начинает открывать бесконечное количество пустых окон, что приводит к нарушению работы компьютера.
Другие названия

JS/WindowBomb.H (Eset)

HTML_BOMB.B (Trend Micro)

JS/Winbomb (McAfee)

Trojan Horse (Symantec)

Троянская программа предназначена для отключения антивирусной защиты и завершения различных процессов на зараженном компьютере.

Данный троян инсталлируется в систему при помощи других вредоносных программ.

Троян завершает следующие процессы:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AckWin32.exe
ACKWIN32.EXE
ALERTSVC.EXE
ALOGSERV.EXE
Anti-Trojan.exe
ANTS.EXE
ATCON.EXE
ATCON.EXE

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации.
Запуск

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(Default)"=""

Действие

В своем рабочем каталоге троян создает следующий файл:

Троянская программа. Предназначена для генерации троянов — клавиатурных шпионов. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Создана в Китае.
Запуск

При запуске троянская программа запрашивает у пользователя настройки, необходимые для генерации нового троянца.

Основными запрашиваемыми параметрами являются:

Другие модификации: A, B

Другие названия:

Win32/Spy.Dks.131.B (Eset)

Keylog-Dks (McAfee)

Keylogger.Trojan (Symantec)

Trojan.Dks.131 (Doctor Web)

Troj/DKS-131 (Sophos)

TrojanSpy:Win32/Dks.131.B (RAV)

Trojan-Spy.Win32.Dks.131.B («Лаборатория Касперского»)

TROJ_DKS131.A (Trend Micro)

TR/DKS.Spy.131.C.3 (H+BEDV)

Win32:Trojan-gen. (ALWIL)

Trojan.Spy.DKS.1.3.1.B (SOFTWIN)

Trojan.DKS.131.B (ClamAV)

Trojan Horse (Panda)
Запуск

После запуска троян копирует себя в системный каталог Windows с именем SYSTEMKS.EXE. Также создает в системном каталоге Windows файл с именем systemks.dll.

Другие модификации: A, B
Запуск

После запуска троян копирует себя в системный каталог Windows с именем SYSTEMKS.EXE. Также создает в системном каталоге Windows файл с именем systemks.dll.

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троян создает в системном каталоге Windows файл с именем sysadks.dll.

Другие модификации: A, V
Запуск

После запуска троян создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файлы polymorph.dll и desktop.ini. Файлы скрытый.

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\polymorphreg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\ polymorph.dll"

Другие модификации: A, V
Запуск

После запуска троян создает в папке %Documents and Settings%\%All Users%\%Common Documents%\Settings файл arm32.dll. Файл скрытый.

Устанавливает загрузку своей библиотеки при старте процесса Winlogon (во время загрузки системы):

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32reg]
"Asynchronous"="dword: 0x00000001"
"DllName"="%Documents and Settings%\%All Users%\%Common Documents%\Settings\arm32.dll"