Вернуться   Другой Форум про антивирусы и софт - Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Регистрация Справка Правила Помощь форуму Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 02.09.2011, 12:04   #1
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


В данной теме предлагаю выкладывать названия известных и недавно появившихся вирусов(также троянов,червей,руткитов и т.п.).
Описания их вредоносных действий,способы проникновения в систему,а также способы их удаления и обезвреживания.
Всех постящих просьба соблюдать Правила раздела :Защита системы,а так же Правила форума.



Так же здесь можно обратиться за помощью в удалении вирусов из системы.
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.09.2011, 12:15   #2
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan.Fakealert.23300

Отличительной особенностью троянской программы Trojan.Fakealert.23300 в сравнении с другими представителями семейства является то, что он оснащен механизмами загрузки и запуска на инфицированной машине исполняемых файлов.

Вредоносные программы семейства Trojan.Fakealert известны уже довольно давно, в настоящее время в вирусных базах Dr.Web насчитывается более 24 тысяч модификаций данного троянца. Традиционно Trojan.Fakealert представляет собой лжеантивирус, при запуске сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на машине жертвы нет. Разновидностей подобных лжеантивирусов, отличающихся названием, оформлением и количеством «определяемых» ими «угроз», существует великое множество, однако большинство из них действуют по одной и той же схеме: их задача — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Несколько иначе действует Trojan.Fakealert.23300.

В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.
Нажмите чтобы раскрыть спойлер

Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.

После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троянец отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.
Нажмите чтобы раскрыть спойлер

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера». Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях). Интерфейс этой «утилиты для проверки дисков» показан на предложенных ниже иллюстрациях:
Нажмите чтобы раскрыть спойлер



Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.

В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности, в антивирусную лабораторию «Доктор Веб» регулярно поступают образцы троянских программ семейства Trojan.MulDrop, наподобие приложения Trojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом обладает другим вредоносным функционалом: устанавливает на зараженный компьютер извлеченную из собственного исполняемого файла вредоносную программу. Сигнатуры данных угроз добавлены в вирусные базы Dr.Web. В целях безопасности не забывайте регулярно осуществлять сканирование жестких дисков вашего компьютера.
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.09.2011, 20:22   #3
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Ransom.Win32.PornoAsset.hg

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.
Инсталляция

Создает копии своего оригинального файла под следующими именами:

%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe


Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".

В зависимости от версии операционной системы может создавать копию своего файла с именами:

%WinDir%\explorer.exe
%System%\dllcache\explorer.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%AllUsersAppData%\22cc6c32.exe"



Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).

Также троянец создает копии системных файлов:
1.файл

%System%\userinit.exe

сохраняет с именем:

%System%\03014D3F.exe
2. файл

%WinDir%\explorer.exe

сохраняет с именем:

%WinDir%\7C3B2A7D.exe

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

BFFF5675-ADC0-4740-81FF-7540597A0DC5

При этом номер телефона выбирается случайным образом из следующих:

8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1.Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
2.Удалить файлы:
%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\<rnd>.exe

3.Переименовать:
Файл
%System%\03014D3F.exe

переименовать в файл:

%System%\userinit.exe

Файл %WinDir%\7C3B2A7D.exe

переименовать в файл:

%WinDir%\explorer.exe

4.Восстановить файл:

%System%\taskmgr.exe
5.Установить следующее значение для параметра ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon]
"Shell" = "explorer.exe"
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.09.2011, 20:29   #4
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Downloader.Win32.Small.bsdo

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

Деструктивная активность

После запуска троянец устанавливает соединение со следующим IP адресом:

69.***.192.250

И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:

%Temp%\_<rnd>.tmp

Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.

Далее троянец запускает скачанные файлы и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Удалить файлы:

%Temp%\_<rnd>.tmp
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.09.2011, 23:55   #5
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

вирус win32.jeefo и W32.Virut!html-описание присутсвует в этой теме.


а о вирусе Trojan.Win32.Inject.aohy можно подробнее узнать здесь
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 02:24   #6
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Rootkit.Win32.Agent.yr

Технические детали

Вредоносная программа, предназначенная для скрытия других троянских программ в системе. Программа является приложением Windows (PE DLL-файл). Имеет размер 29448 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 93 KБ. Написана на C++.
Инсталляция

При запуске извлекает из своего тела во временный каталог текущего пользователя файл со случайным именем вида:

%Temp%\<rnd1>.sys

Где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита, например "2i1k17".

Данный файл имеет размер 19011 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.rce.

После извлечения файл перемещается в системную папку под следующим именем:

%System%\wincab.sys

Для автоматического запуска троянец создает в системе службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows, при этом создается следующий ключ реестра:

[HKLM\System\CurrentControlSet\Services\Wincab]


Деструктивная активность

Завершает следующие процессы:

KAV RAV AVP KAVSVC

Так же скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку “wincab” при помощи подмены обработчиков следующих функций:

NtEnumerateKey NtEnumerateValueKey NtQueryDirectoryFile NtQuerySystemInfromation

в KeServiceDescriptorTable.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Перезагрузить компьютер в "безопасном режиме" (в самом начале загрузки нажать и удерживать клавишу "F8", затем выбрать пункт "Safe Mode" в меню загрузки Windows).
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3.Удалить ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\Wincab]

Удалить файлы:

%Temp%\<rnd1>.sys %System%\wincab.sys
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 14:32   #7
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-SMS.J2ME. Boxer.bm

Вредоносная программа, предназначенная для отправки SMS-сообщений с пораженных мобильных устройств на премиум-номера. Является Java-классом (class-файл), который содержится в JAR архиве. Имеет размер 8369 байт.
Инсталляция

Вредоносный Java апплет входит в состав JAR архива, который имеет размер 23921 байт и хранится с именем "Foto.jar". После установки архива в память телефона, вредоносное приложение сохраняется под именем "Foto".

Архив содержит в себе следующие файлы:

Нажмите чтобы раскрыть спойлер
a.class - вспомогательный класс-файл, имеет размер 1307 байт.
agreement.txt - вспомогательный файл, имеет размер 2828 байт.
b.class - вспомогательный класс-файл, имеет размер 6834 байт.
background.png – файл-картинка, имеет размер 7281 байт.
c.class - вспомогательный класс-файл, имеет размер 1141 байт.
d.class - вспомогательный класс-файл, имеет размер 2003 байт.
data.res – файл ресурсов приложения, имеет размер 104 байта.
e.class - вспомогательный класс-файл, имеет размер 1387 байт.
f.class - вспомогательный класс-файл, имеет размер 92 байта.
finish.txt - вспомогательный файл, имеет размер 133 байта.
icon.png - иконка приложения, имеет размер 931 байт.
Loading.class - вредоносный класс-файл, осуществляющий попытку
отправки SMS-сообщений, имеет размер 8369 байт.
pregbar.png - файл-картинка, имеет размер 2014 байт.
softkey.png - файл-картинка, имеет размер 289 байт.
url.txt - вспомогательный файл, имеет размер 16 байт.


Деструктивная активность


После запуска приложения троянец выводит на экран:
Нажмите чтобы раскрыть спойлер

После выбора пункта меню "Правила (7)", нажатием на устройстве клавиши "7", выводит на экран пользовательское соглашение:
Нажмите чтобы раскрыть спойлер

которое содержит следующие строки:

Нажмите чтобы раскрыть спойлер
Этa пpoгpaммa coдepжuт uнфopмaцuю u мaтepuaлы opueнтupoвaнныe
тoльko нa взpocлyю ayдuтopuю, koтopыe мoгyт быть нeaдekвaтнo
вocпpuняты, нeпpueмлeмы uлu oпacны для нekoтopыx kaтeгopuй
пoceтuтeлeй, нaпpuмep, uзoбpaжeнuя oбнaжeннoгo тeлa, cekcyaльныe
cцeны oтkpoвeннoгo xapakтepa, xyдoжecтвeннoe uзoбpaжeнue
ceкcyaльнoгo xapaктepa, a тakжe ux cлoвecныe oпucaнuя. Bce
нaзвaния, типa: пopнo, дeвoчки, шкoльницы, дeвcтвeнницы,
мaлoлeтки, cтyдeнтки и т.д. нe coдepжaт в ceбe дaннoгo мaтepиaлa,
этo пpocтo мyляжи!
" Bceм дeвyшкaм, гaллepeи кoтopыx paзмeщeны нa caйтe, 18 и
бoлee лeт. Имeнa дeвyшeк мoгyт нe coвпaдaть c дeйcтвитeльными;
Bceм мoдeлям нa мoмeнт cъeмoк иcпoлнилocь 18 лeт и бoлee. Bce
cцeны ceкcyaльнoгo xapaктepa пocтaнoвoчныe, cъeмки пpoиcxoдили
пo oбoюднoмy coглacию aктepoв. Maтepиaлы эpoтичecкoгo coдepжaния
взяты из cвoбoднoгo дocтyпa в интepнeтe.
Дaннaя пpoгpaммa изнaчaльнo coздaнa для peгиcтpaции,
кoтopaя oткpывaют вaм дocтyп к плaтнoмy зaкpытoмy apxивy
эpoтичecкиx зaгpyзoк, кoтopыe дocтyпны лицaм c 18 и лeт и
бoлee. Caмy пpoгpaммy Bы кaчaeтe бecплaтнo, oплaтa пpoиcxoдит
тoлькo зa тpaфик пo тapифy вaшeгo oпepaтopa, a зa oтпpaвлeннoe
cooбщeниe плaтитe, Bнимaниe cтoимocть cмc cooбщeний oтпpaвкy
кoтopыx зaпpocит пpилoжeниe cocтoвляeт: нa нoмepа 5370 ~10.31$
(15 дней) , 5373 ~4.57$ (7 дней), 7250 ~3.64$$ (3 дня) т.e тeкcт:
"cкaчaть бecплaтнo" нa caйтe кacaeтcя тoлькo зaкaчки пpилoжeния,
a зa cooбщeния кoтopoe oтcылaeт пpилoжeниe, вы плaтитe.
Пpилoжeниe зaпpocит oтпpaвкy sms!!! Чтoбы зapeгиcтpиpoвaтьcя
в зaкpытoм эpoтичecкoм apxивe, Bы нaжимaeтe "дa". Дocтaтoчнo нaжaть
oдин paз, нaжмeтe 2 paзa cнимyт co cчeтa, кaк зa 2 sms, и ecли
нaжмeтe 3 paзa, тo cyммy cнимyт 3 paзa cooтвecтвeннo. В случае если
Вы отправите 3 смс подряд, то Вы получаете дополнительную неделю
доступа бесплатно! И пocлe этoгo выxoдитe из пpилoжeния и ждeтe
oтвeтнoгo sms c кoдoм и ccылкoй нa apxив (пocлe тoгo кaк выйдитe
из пpилoжeния лyчшe вooбщe yдaлитe eгo для иcключeния вoзмoжнocти
чтo, ктo тo cлyчaйнo зaпycтит eгo и cнoвa oтoшлeт sms). Зaкpытый
эpoтичecкий apxив и пpилoжeния paзмeщeны нa нaшeм caйтe в paмкax
пapтнepcкoй пpoгpaммы;Cтoимocть SMS, oтпpaвкa кoтopыx пpeдлaгaeтcя
в нaшиx java-пpилoжeнияx, плaтнaя. Toчнyю cтoимocть Bы мoжeтe yзнaть
y Baшeгo oпepaтopa. Oтпpaвляя дaннoe sms, Bы тeм caмым oбecпeчивaeтe
ceбe дocтyп к плaтным мaтepиaлaм caйтa.

"У кaждoй фoтoгpaфии/видeo ecть cвoй aвтop и влaдeлeц, кeм мы нe
являeмcя. Bce пpaвa нa пyбликyeмыe мaтepиaлы пpинaдлeжaт иx
влaдeльцaм. Aдминиcтpaция caйтa oбязyeтcя yдaлять вce мaтepиaлы,
нa кoтopыe бyдyт пpeдъявлeны cooтвeтcтвyющиe пpaвa, пo жeлaнию
зaкoнныx aвтopoв;
Пользуясь данным java приложением - Bы aвтoмaтичecки пpинимaeтe
ycлoвия дaннoгo coглaшeния и пoдтвepждaeтe чтo Baм иcпoлнилocь
18 лeт. Жeлaeм пpиятнoгo вpeмяпpeпpoвoждeния вмecтe c нaшим пpилoжeниeм.

Далее для продолжения работы приложения пользователю необходимо
кликать по пункту меню "Ок":
Нажмите чтобы раскрыть спойлер

После прохождения каждых 25 процентов индикатора загрузки троянец отправляет SMS-сообщение на премиум номер:

5***73

После этого выводит на экран сообщение:
Нажмите чтобы раскрыть спойлер

После выбора пункта "Выход" троянец открывает в браузере устройства вэб-ресурс, который размещается по ссылке:

[Ссылки могут видеть только зарегистрированные пользователи. ]
Нажмите чтобы раскрыть спойлер
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 14:39   #8
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Spy.Win32.Carberp.acb

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байта. Написана на Delphi.
Инсталляция

После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

где <rnd> – случайная последовательность цифр и латинских букв, к примеру: "ac5dt69pyzi".

Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.

Деструктивная активность

Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает несколько экземпляров системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:

удаляет оригинальный файл вредоноса;
скрывает ранее созданную копию в каталоге Автозагрузка;
устанавливает соединение с серверами злоумышленника для получения команд.

В зависимости от полученных команд, бэкдор может выполнять следующие действия:

обновлять свой оригинальный файл, загружая обновление с сервера злоумышленника;
загружать на зараженный компьютер другие файлы;
отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
собирать информацию о зараженной системе;
отслеживать клавиатурный ввод пользователя;
отсылать собранную информацию на сервер злоумышленника.

В ходе своей работы бэкдор подключается к следующим серверам:

Ge***san.org e6***uf.in me***i38.com 123***ors.org

На момент создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106560 байт;

MD5: 9F550CF8173CED2F375B15452886AE32,
SHA1: CD32190F5F09D7E7A514D5FED896C77AFDAC3866
;
детектируется Антивирусом Касперского как "Trojan.Win32.Agent.nijw".
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2.Удалить файл:

%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe

3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 03.09.2011, 22:46   #9
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan.Winlock.3846

«Доктор Веб» предупреждает о новой модификации этой троянской программы, получившей название Trojan.Winlock.3846 и рассчитанной в первую очередь на зарубежную аудиторию. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.

В России от троянцев семейства Trojan.Winlock пострадали миллионы пользователей. На сегодняшний день волна заражений пошла на убыль: в частности, этому помог проект [Ссылки могут видеть только зарегистрированные пользователи. ], а также сотрудничество «Доктор Веб» с ведущими российскими мобильными операторами. Тем не менее, сейчас проблема троянцев-блокировщиков стала актуальна и для зарубежных пользователей.

В отличие от троянца Trojan.Winlock.3794,новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\W inlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.

Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.

Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.

Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


Как и прежде, компания «Доктор Веб» настоятельно рекомендует пользователям воздерживаться от запуска приложений, загруженных из неблагонадежных источников, и вложений в сообщения электронной почты, полученных от неизвестных отправителей. Следует с осторожностью относиться к возникающим в процессе просмотра веб-страниц сообщениям браузеров с предложением установки каких-либо модулей или плагинов. Если вы стали жертвой троянца Trojan.Winlock.3846, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утилитой Dr.Web CureIt!.
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 06.09.2011, 00:24   #10
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 51 965

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Caribe - это сетевой червь. Он быстро пересылает себя в другие устройства через Bluetooth, что способствует более быстрому разряду аккумулятора. Плюс ко всему этому из-за постоянно включенного Bluetooth могут возникнуть притормаживания в работе. Больше вирус ничем не страшен.

Skulls - создает свои файлы во всех программах системы, что приводит к их непригодности. Также вирус заменяет значки всех программ и папки на свои эксклюзивные - череп на костях. При каждой перезагрузке размножается по всем директориям. Поэтому при обнаружении вируса ни в коем случае не перезагрузайте смарт - мусора станет в два раза больше.

Ozicom 7650 Hebrew - это краткая справка по программе (точнее пакета программ). Данный пакет программ предназначен для замены языка интерфейса телефона на Иврит без перепрошивки. Данный пакет написан специально для телефона 7650 и на других телефонах особенно с версиями Symbian 7 и выше работать будет некорректно или вообще не будет. Код 7370 не поможет ибо он блокируется данным пакетом.

Trojan - интенсивно посылает SMS на все номера из телефонной книги, что приведет к немыслимому увеличению финансовых расходов.



Удаление вируса Caribe (2 способа):

1. Можно воспользоваться утилитой "decabir" от Касперского.

2. Удалить файлы из папок: c:/system/symbiansecuredata/caribesecuritymanager; c:/system/recogs и e:/system/Apps/caribe (буквы диска могут зависить от того, куда был установлен Carib, в данном случае на карту памяти).



Удаление вируса Skulls:

Распространяется в программе Extended Theme Manager от компании Tee-222. Если вы пострадали от этого вируса, ни в коем случае не перезагружайте смарт, иначе это может привести к потере данных.

Лечение:

1.. Сначала нужно удалить файлы Appinst.aif и AppInst.app, а затем воспользоваться антивирусом от компании F-Secure.



Удаление вируса Ozicom 7650 Hebrew:

1.. Удаляем из папки E:/system/apps или C:/system/apps все папки имеющие в названии значок _ (_аppini и т.п.) После этого заходим в стандартный диспетчер приложений и удаляем саму программу. Все! Как видите ничего сложного.
__________________
http://anotherforum.ru/images/help.gif
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Онлайн проверка на вирусы. Обзор сервисов stalk Обсуждение антивирусов и файерволов 48 13.04.2023 15:27
Авиакомпании России, туроператоры и проблемы связанные с ними крот1 Окружающая реальность 0 23.08.2014 00:18


Часовой пояс GMT +3, время: 10:58.




Яндекс.Метрика