Прикольные описания вредоносных программ

[vidocq89]

Самые прикольные описания вредоносных программ

 

Предлагаю постить здесь описашки (хоть с вируслиста хоть от себя по опыту) самых прикольных, оригинальных и смешных зловредов.

 

 

Начну:

 

Примитивный троянец. Написан на BAT-языке. Размер - 983 байта.

При запуске копирует себя в корневой каталог диска C: под именем "hally.bat".

Из-за ошибок, допущенных автором троянца, дальнейший код троянца не выполняется.

 

Этот "троянский конь" внешне очень похож на антивирусную программу DrWeb ("Диалог-Наука"). При нажатии на кнопку "Find Viruses And Kill Them" "троянец" удаляет с диска файлы C:\COMMAND.COM и WIN.COM. В результате запуск операционной системы Windows 95/98 становится невозможным.

 

Примитивный троянец, написанный на командном языке DOS (т.е. является BAT-файлом). При запуске уничтожает все файлы на дисках C:, A:, B:, D: (именно в такой последовательности); использует при этом DOS-команду "DELTREE /Y". Затем троянец уничтожает на тех же дисках файлы SIMPSONS.* (непонятно зачем - все файлы уже и так уничтожены).

[Олег777]

Напоминает молдавский вирус!

[Frintessa]

Virus.DOS.Vodka.560 Virus.DOS.Vodka.560 («Лаборатория Касперского») также известен как: Vodka.560 («Лаборатория Касперского»), Univ/r (McAfee), Vodka.560 (Symantec), Vodka.560 (Doctor Web), Dibilizator-560 (Sophos), Vodka.560 (RAV), Vodka (Trend Micro), VGEN/3733.512 (H+BEDV), Vodka.560 (FRISK), Dibilizator-560 (ALWIL), PS-MPC.0560.AV.Gen (SOFTWIN), Vodka.551 (ClamAV), Vodka.560 (Panda), Vodka (Eset) Virus.DOS.Vodka.551 («Лаборатория Касперского») также известен как: Vodka.551 («Лаборатория Касперского»), Univ/r (McAfee), Vodka.551 (Symantec), Vodka.551 (Doctor Web), Dibilizator-560 (Sophos), Vodka.551 (RAV), VODKA.551 (Trend Micro), VGEN/3733.512 (H+BEDV), Vodka.551 (FRISK), Dibilizator-560 (ALWIL), PS-MPC.0551.AK.Gen (SOFTWIN), Vodka.551 (ClamAV), Vodka.560 (Panda), TSR.EXE (Eset)

Описание опубликовано 12 янв 2000 Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Выводит сообщение: (copyleft) ДИБИЛИЗАТОР ver. 1.2 Пиво,Водку пить - здоровью вредить!? (Y/N)

Изменено 3 ноября, 2007 пользователем Frintessa

[Falcon]

Напоминает молдавский вирус!

Ээээ... Товарищ, попрошу без намеков на национальную принадлежность!

[starik]

Прикольная тема Worm.VBS.Newley.a - недавно подцепил , а описания на viruslist не было . Описание в стиле viruslist.com

Worm.VBS.Newley.a

 

Другие названия

________________________________________________________________________________

ЛК:Worm.VBS.Newley,AhnLab-V3:VBS/Newley,AntiVir:Worm/Newley.A,Authentium:VBS/Newley.A,

Avast:VBS:Malware-gen,BitDefender:VBS.Newley.A,DrWeb:SCRIPT.Virus,eTrust-Vet:VBS/Newly,

Ewido:Worm.Newley.a,Fortinet:VBS/Newley.A!worm,F-Prot:VBS/Newley.A,McAfee:VBS/Psyme,

Ikarus:Worm.VBS.Newley.A,Norman:VBS/Worm.gen,Panda:VBS/SlowDeath.A,TheHacker:VBS/Psyme,

Rising:Worm.VB.Newley.a,Sophos:VBS/Newley-A,VBA32:Worm.VBS.Newley.a,

VirusBuster:VBS.Ovbius.A,Webwasher-Gateway:Worm.Newley.A.

________________________________________________________________________________

 

 

Технические детали

________________________________________________________________________________

Сетевой червь выполняющий деструктивные действия на заражённом компьютере.

Написан на Visual Basic Script , размер заражённой программы 3641 байт

В процессе своей работы на заражённый компьютер загружает различное вредоносное ПО

________________________________________________________________________________

 

Деструктивная активность

________________________________________________________________________________

1)_При открытии копируется в

"C:\WinNT.Dat"

"C:\Windows\System32\CompuSpeed.vbs"

"C:\Winnt\System32\CompuSpeed.vbs"

2)_Добавляет себя в новую группу с полномочиями администратора (user:geo,password:geo)

3)_Противодействует антивирусу Sophos

4)_Создаёт ключи в автозапуске системного реестра

"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT", "C:\Winnt\System32\CompuSpeed.vbs"

"HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP", "C:\Windows\System32\CompuSpeed.vbs"

"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName","Geography TX-A"

"HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString","taskkill /f /im svchost.exe"

5)_Запускает Telnet с учётной записи созданного виросом пользователя "geo"

6)_Скачивает с http://www.meer.net/*****/nc.exe (nc.exe - not-a-virus:RemoteAdmin.Win32.NetCat)

_Загруженный файл сохраняется

C:\winnt\system32\winntsrv.exe

C:\windows\system32\winntsrv.exe

7)_ После того как файл загружен червь прекращяет свою работу на 100 секунд, зделано так по простой причине - vbs скрипты

слишком "медленны" + не известно за какое время будет загружен файл

8)_Для только что загруженного бэкдора создаётся ключ в автозапуске системного реестра (см.ниже)

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565", "winntsrv -l -p10001 -d -e cmd.exe -L"

9)_После всез выше описанных операций на заражённом хосте открывается 10001, к данному порту будет канектится злоумышленник

10)_Червь копирует своё тело "C:\WinNT.dat" по всем сетевым дискам с DISK:\CompuSpeed.vbs

________________________________________________________________________________

Рекомендации по удалению

________________________________________________________________________________

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления

необходимо выполнить следующие действия:

Удалить следущие ключи реестра(см.ниже)

HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP

HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT

HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName

HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565

Необходимо удалить созданные червём файлы

C:\WinNT.Dat

C:\Windows\System32\CompuSpeed.vbs

C:\Winnt\System32\CompuSpeed.vbs

C:\winnt\system32\winntsrv.exe

C:\windows\system32\winntsrv.exe

А также на всех дисках DISK_NAME:\CompuSpeed.vbs

Удалите созданную червём учётную запись User:Geo, Password:geo

________________________________________________________________________________

 

|_Вопросы "?"_|

________________________________________________________________________________

Почему *.dat? спросите вы, сделано с целью сокрытия от антивирусов, а также не вызвать подозрения у пользователя.

Черви такого типа были наиболее распространены в 2004-2005ые года . Судя по камментариям в теле червя можно

сказать что автор: from США

________________________________________________________________________________

 

Кому нужно отправить описание вредоносного ПО, чтоб описание присутствовало на viruslist.com/ru ?

Изменено 3 ноября, 2007 пользователем starik

[vidocq89]

эту "великолепную" вещь скорее всего написал четырнадцатилетний подросток...

Изменено 4 ноября, 2007 пользователем vidocq89

[starik]

Наверно так оно и есть, кидисы восновном вредоносные сценарии пишут.

[vidocq89]

Создает файл C:\README.TXT и записывает в него текст "Fuck!" до тех пор, пока на диске не закончится свободное место. При этом выводит текст:

 

Пожалуйста подождите, проверяется структура каталогов

Это может занять несколько минут ...

 

хе-хе... вот еще немного...

 

странно, что от вас нету никаких описаний... ведь вы же как я понял по общению в чате качаете себе троев/вирей, вот бы и нажимали на ссылку-название что бы перейти на вируслист) может бы чего прикольного нашли)

[Константин]

Наткнулся в одном из журналов:

-Самый религиозный вирус.

этого титула удостоился червь USBToy.A, поскольку при каждой загрузке системы он демонстрирует цитату из Библии: "Вначале сотворил Бог небо и землю. Земля же была пуста и хаотична, и тьма над бездною, и дух Божий витал над водой. И сказал Бог: <Да будет свет.> И стал свет. Историю нужно помнить!"

-Чудеса GPS.

Троян Burglar.A, кроме кражи паролей и выполнения других вредоносных действий, сообщает пользователям точное местоположение их компьютера, используя Google Maps.

-Член профсоюза.

ArmyMovement.A мог бы стать гордым членом профсоюза, потому что он рассылает розыгрыш с темой, написанной на турецком языке: "50%-ое повышение зарплаты от правительства для военных и гражданских служащих".

-Лучший журналист.

Червь Rinbot.B мог бы участвовать в конкурсе на получение премии Пулицера. Его код содержит мнимое интервью CNN со своим создателем, который объясняет, зачем он написал данного червя.

-Самый нерешительный.

Он распространяется по электронной почте, в случайном порядке генерируя имя отправителя. Текст и тема сообщения варьируются. Он содержит вложение... также под различными названиями. Имя этого червя Piggy.B.

-Вот так сплетник.

XPCSpy записывает все нажатия на клавиши, делает скриншоты, ведёт учёт посещаемых веб-страниц, открывает окна, запускает программы и даже читает электронную почту, чаты и сообщения мессенджера...

Продолжение следует

[Константин]

Продолжение

-Самый коварный.

VideoCach обманывает пользователей, предупреждая их о несуществующих угрозах и показывая сообщение о наличии на компьютере вредоносого ПО. Цель его действий - заставить жертву купить определённую программу. Если не следовать его советам, то сообщения о заражении будут часто всплывать на мониторе.

-Шут из коробочки.

Ketava.A получает звание главного шутника года. Помимо поведения, свойственного трояну, то есть создания файлов и редактирования реестра, он демонстрирует окно с шуткой на индонезийском языке.

-Итак, лучшим актёром...

В категории юниоров представлен Harrenix.A за свою симуляцию трейлера к фильму "Гарри Поттер и Орден Феникса". Во взрослой категории - Pirabbean.А номинированного за эффективную симуляцию трейлера к Пиратам Карибского моря: "На краю света".

-Звуки музыки.

Неоспоримим победителем в этой категории становится червь Gronev.А, потому что он открывает Windows Media Player и проигрывает отрывок под названием Lagu.

-Самый болтливый.

Данный титул уходит трояну BotVoice.А, который проигрывает следующую запись: "Вы были заражены, повторяю, вы были заражены, а ваши системные файлы - удалены. Извините. Хорошего дня и до свидания".

Факт издёвки конечно есть, но не всегда смешно.

[starik]

Всю вторую половину дня занимался очисткой сервера одной урюдической конторы, признаюсь что настолько беспомощен я не был, не разу ... система была обложена вредоносами... одних пинчей пять штук, парочка кейлогеров, и даже спам боты, и всё это было чательно скрыто руткитом - автор рута отлично знаком с внутренем устройством винды, сокрытие трафа,ключей реестра,процессов,файлов,скрытие сетевых портов - размер рута 20 килобайт. Резгребусь со всем и выложу парочку интересных описаний

Изменено 19 ноября, 2007 пользователем starik

[vidocq89]

главное что-бы они были прикольными))