Новые вирусы

Win32/Pandora.L

Запуск

При запуске троян копирует себя в корень каталога windows:

%WinDir%\memorium.exe

Для запуска при каждом следующем запуске Windows троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="memorium.exe"

Добавляет параметр в файл конфигурации wininit.ini:

мemorium=memorium.exe
Действие

Win32/Spy.Dks.12.B

Троян — клавиатурный шпион.
EXE-файл
Написан на Visual C++
Упакован UPX
Запуск

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:

%System%\SYSTEMKS.EXE
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт):

%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Win32/Spy.Dks.13.A

Троян — клавиатурный шпион.
EXE-файл
Написан на Visual C++
Размер файла — 6656 байт
Упакован UPX
Размер распакованного файла — 30 КБ
Запуск

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:

%System%\SYSTEMKS.EXE
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт):

%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Win32/Spy.Dks.13

Другие версии: 13, 13.а, 12.b, 12.с

Win32/Spy.Dks.13 (Eset), TrojanSpy.Win32.DKS.13.b («Лаборатория Касперского»), Keylogger.Trojan (Symantec), Trojan.Dks.131 (Doctor Web), Troj/Dks-13 (Sophos), TrojanSpy:Win32/Dks.1_3 (RAV), TROJ_DKS.13 (Trend Micro), TR/DKSSpy.13.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Dks.1.3 (SOFTWIN), Worm Generic (Panda)
<>

Троян — клавиатурный шпион.
EXE файл
Написана на Visual C++
Размер упакованного 6658 байт
Упакован UPX

Win32/TrojanDownloader.Tibser.A

Троянская программа.
Размер запакованного файла 39690 байт
упакован UPX
DLL-файл
Написан на C++
Запуск

[HKCR\TIBSLoaderAXDLL.TIBSLoader.4]
[HKCR\TIBSLoaderAXDLL.TIBSLoader]
[HKCR\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}]
[HKCR\TypeLib\{C4855F24-2FEE-4253-AF26-24D539508AB1}]
[HKCR\Interface\{DB767162-0D30-4181-9ED6-8019F6452FFF}]

Создает файл и помещает его в:

%Temp%\tibs

Дальше троян делает следующее:

создает ключ реестра, в котором хранит свои настройки

Win32/Trojan-Spy.Banker.asq

Троянская программа, которая похищает конфиденциальную информацию пользователя при посещении некоторых интернет-сайтов.
Файл EXE
Рразмер 62476 байт
Упакована UPack
Рраспакованный размер — 320 КБ
Написана на C++
Запуск

При запуске троянец копирует свой исполняемый файл как:

%System%\scvhost.exe

После этого оригинальный файл трояна удаляется.

Win32/Spy.ImSoft

Троянская программа, изменяющая стартовую страницу Internet Explorer.
Файл EXE
Написана на Delphi
Размер файла 60416 байт

При запуске троянец изменяет следующее значение ключа реестра:

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.im-software.co.uk"

Это приводит к изменению стартовой страницы браузера Microsoft Internet Explorer на http://www.im-software.co.uk

Удаление вручную:

Win32/Trojan.Qhost.it

Другие модификации: .ac, .br, .bs, .dg, .gg, .gl, .gu, .hc, .hl, .hq, .hx, .ii

Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 964 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.

Win32/Spy.DKS.12.C

Троянская программа — клавиатурный шпион.
EXE файл
Размер 14336 байт
Написан на Visual C++.
Запуск

После запуска троян копирует себя в системный каталог Windows:

%System%\systemks.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл трояна.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):

Win32/Spy.Msgate.01

Троянская программа — клавиатурный шпион.
EXE файл
Размер 36864 байта
Написан на C++
Запуск

При запуске троянец загружает библиотеку DLL с именем msgate.dll (45056 байт) и вызывает из нее функцию «msgateMsgHook», с помощью которой следит за нажатием клавиш пользователем и записывает собранную информацию в файл отчета:

%Application Data%\keys.html

Удаление вручную:

RSS-материал