Бесплатные антивирусы

Троянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Программа является приложением Windows (PE EXE-файл). Имеет размер 4096 байт. Упакована при помощи UPX. Размер распакованного файла — около 15 КБ.
Запуск

Прописывает себя в автозапуск

[HKLM\Software\Microoft\Windows\CurrentVersion\Run]
"(Default)"=""

Троянская программа — клавиатурный шпион.
Запуск

Троян предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троян сохраняет в следующем файле:

Программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Является приложением Windows EXE-файл. Имеет размер 427008 байт.
Запуск

При запуске программа копирует свой исполняемый файлы в системную папку Windows с именем:

%System%\win2k2.exe

Для автоматического запуска при следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Win32/Small.o9 является семейством троянских программ, которые без ведома пользователя инсталлируют другие вредоносные программы на зараженном компьютере и запускают их на исполнение. Зараженные файлы представляют из себя приложение Windows EXE-файл. Размер зараженных файлов значительно варьируется.

Более подробное описание одного из объектов данного семейства — result.exe (MD5: 67abb14646d81701af7d64721962dab8).

Троян - приложение Windows EXE-файл. Размер 4608 байт. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на C++.
Запуск

После запуска троян производит чтение последних 250 байт своего тела. В них в зашифрованном виде расположена ссылка на файл для скачивания.

После расшифровки происходит скачивание файла по указанному адресу и сохранение его во временный каталог Windows под именем $fd$.exe.

Производит загрузку из интернета и запуск на компьютере пользователя вредоносных программ. Программа является приложением Windows (EXE-файл). Имеет размер 5554 байта. Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана на C++.
Запуск

После запуска троян производит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть «H» или «h»). В случае анализируемого объекта это следующие ссылки:

Запуск

При запуске открывается страница http://www.n###.com/rankboost.php?0

Результатом этого запроса является страница, содержащая текст следующего скрипта JavaScript, который будет выполнен сразу же после выполнения запроса:

setTimeout("location='http://www.n###.com/deliver/cs.php'",99000);

В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.n###.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.n###.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:

Модификации: M
Распространение

Распространяется по почте в виде вложений.

• a.exe
• about me.exe
• last.exe
• latest news.exe
• never.exe
• open.exe
• read me.exe
• truth.exe
• war.exe

Тема письма:

• ATTN TO EVERYBODY!
• Incredible news!
• NEWS!
• READ AND RESEND ASAP!
• URGENT NEWS!
• White house news!
Запуск

При распаковке Nuwar копирует исполняемый файл WSERVICE.EXE в папку Windows. Так же копирует нескольких копий себя, используя имя файла (8 случайных символов). в следующих папках :

Рассылается по электронной почте в виде zip архива без пароля. Архив имеет небольшой размер - порядка 1.5 кб, типовое имя архива - postcard.zip. Внутри архива содержится единственный файл postcard.exe размером 3588 байт. Текст письма динамически изменяется и имеет следующий вид:

***************
Hi, you’ve just received a postcard.

For:

Троянская программа-загрузчик. Написана на JavaScript. Содержится в теле веб-страниц.
Действие

Троянец, используя Microsoft.XMLHTTP, загружает, с указанного в качестве параметра адреса, исполняемый файл и сохраняет его, используя ADODB.Stream, в папку C:\Program Files\Internet Explorer\.

После этого файл запускается на исполнение одной из функций, в зависимости от версии Windows.