НовостиПо типу лицензииЭнциклопедия вирусов- Новые вирусы (70)
Купить на AllSoftПрограммы защитыПо языку интерфейсаВходИнформацияПоискНавигацияНа сайтеНа данный момент на сайте 0 пользователей и 3 гостя .
Реклама в Яндекс.Директ, создание и продвижение сайтов. |
Новые вирусыWin32/Spy.Small.AТроянская программа, предназначенная для захвата вводимой пользователем с клавиатуры информации. Программа является приложением Windows (PE EXE-файл). Имеет размер 4096 байт. Упакована при помощи UPX. Размер распакованного файла — около 15 КБ. Прописывает себя в автозапуск [HKLM\Software\Microoft\Windows\CurrentVersion\Run] Win32/Spy.Small.RТроянская программа — клавиатурный шпион. Троян предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троян сохраняет в следующем файле: Win32/Spy.Janet.420.AПрограмма, предназначенная для захвата вводимой пользователем с клавиатуры информации. Является приложением Windows EXE-файл. Имеет размер 427008 байт. При запуске программа копирует свой исполняемый файлы в системную папку Windows с именем: %System%\win2k2.exe Для автоматического запуска при следующем старте Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: Win32/Small.o9Win32/Small.o9 является семейством троянских программ, которые без ведома пользователя инсталлируют другие вредоносные программы на зараженном компьютере и запускают их на исполнение. Зараженные файлы представляют из себя приложение Windows EXE-файл. Размер зараженных файлов значительно варьируется. Более подробное описание одного из объектов данного семейства — result.exe (MD5: 67abb14646d81701af7d64721962dab8). Win32/TrojanDownloader.ZombGet.02.CТроян - приложение Windows EXE-файл. Размер 4608 байт. Упакована при помощи UPX. Распакованный размер — около 20 КБ. Написана на C++. После запуска троян производит чтение последних 250 байт своего тела. В них в зашифрованном виде расположена ссылка на файл для скачивания. После расшифровки происходит скачивание файла по указанному адресу и сохранение его во временный каталог Windows под именем $fd$.exe. Описание Win32/Nurech.l.TrojanПроизводит загрузку из интернета и запуск на компьютере пользователя вредоносных программ. Программа является приложением Windows (EXE-файл). Имеет размер 5554 байта. Упакована при помощи FSG. Распакованный размер — около 32 КБ. Написана на C++. После запуска троян производит чтение последних 255 байт своего тела. В них в зашифрованном виде расположены ссылки на файлы для скачивания (%URL%). После расшифровки проверяется правильность строки со ссылкой (первый символ должен быть «H» или «h»). В случае анализируемого объекта это следующие ссылки: Win32/VB-mi.TrojanЗапуск При запуске открывается страница http://www.n###.com/rankboost.php?0 Результатом этого запроса является страница, содержащая текст следующего скрипта JavaScript, который будет выполнен сразу же после выполнения запроса: setTimeout("location='http://www.n###.com/deliver/cs.php'",99000); В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.n###.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.n###.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков: Win32/Nuwar.M wormМодификации: M Распространяется по почте в виде вложений. • a.exe Тема письма: • ATTN TO EVERYBODY! При распаковке Nuwar копирует исполняемый файл WSERVICE.EXE в папку Windows. Так же копирует нескольких копий себя, используя имя файла (8 случайных символов). в следующих папках : Win32/TrojanDownloader.Small.EDN trojanРассылается по электронной почте в виде zip архива без пароля. Архив имеет небольшой размер - порядка 1.5 кб, типовое имя архива - postcard.zip. Внутри архива содержится единственный файл postcard.exe размером 3588 байт. Текст письма динамически изменяется и имеет следующий вид: *************** For: VBS/TrojanDownloader.Psyme.NAFТроянская программа-загрузчик. Написана на JavaScript. Содержится в теле веб-страниц. Троянец, используя Microsoft.XMLHTTP, загружает, с указанного в качестве параметра адреса, исполняемый файл и сохраняет его, используя ADODB.Stream, в папку C:\Program Files\Internet Explorer\. После этого файл запускается на исполнение одной из функций, в зависимости от версии Windows. |