Перейти к содержанию

Описания вредоносных програм

starik

Автор starik
в Беседка

 Поделиться

Рекомендуемые сообщения

starik

starik

Опубликовано
Опубликовано

Решил создать серьёзную тему и посвятить её вирусам, точнее описаниям этих самих вирусов. Разрешено выкладывать описания вредоносных программ каторые не имеют описания на viruslist.com/ru, описания вредоносов которых нет в базе КАВ_КИС, (каторые естественно в скорем времени там ДОЛЖНЫ появиться).

-------------------------------------

И вот как бы вступительный взнос - продвинутый клавиатурный_форм-граберный шпион. Продвинутый по причине того что чательно был скрыт kernel-mode руткитом(о руте чуть попозже напишу)

-------------------------------------

 

**********************************

// Struct_Vir_Class_Name

Ratond@_Lab: Trojan-Spy.Win32_PE_DLL.HookLogBlock

/* Обнаружен 19.11.2007 */

 

// Техническая Информация

Вредоносное ПО является PE DLL файлом, инсталируется в систему с помощью Trojan-DRP.W32.HookInstal. За сохранение данных введёными пользователем

с клавиатуры отвечает PE EXE компанент которому будет передана соответсвующая информация, интересно то что файл который будут записыватся логи

нажатых клавиш создаёт EXE'шный дропер,а протекциию файла обеспечивает библиотекка. Шпион написан на Visual C++ 6, размер 36 килобайт

Точная дата создания 25.08.2004.

 

// Активность

Создаёт файл в каторый сохраняются введёные пользователем данные с:\docum~1\%user%\index.log.DAT, доступ к файлу получить пользователь не может,

при открытии файла будет выведено сообщение об ошибке "доступ к файлу запрещён", используется "Си'шная" протекция, котурую можно обойти

a)Вошли с другой ОС

б)Написали подобное "чудо"

а)Снесли либу - сделать будет не просто так как либа подгружается ко всем процессам

В библеотеки есть функции самозащиты, помимо того что работает с хуками, она получает координаты курсора смотрит что за окошко, и если это окошко

занесено в black лист, окно "тупо прячется". Допустим вы не сможете воспользоваться утилитой от Майкрософт выполнив в камандной строке msconfig

Список окон которые будут скрыты (см.ниже)

ThunderHScrollBar

ThunderVScrollBar

123WScrollBar

Lego.SCROLLBAR

SCROLLBAR

ScrollBa

MSPPage

paneClassDC

EXCEL7

_WwG

A44DwheelMouseSharedMemory

A4WheelMouseYWQ99

MsoCommandBar

OfficeDropdown

ScrollBar

JSScrollBar

Js-SCROLL

OpusRSB и т.д.

Точно нельзя сказать с каким типом хуков работает Spy, всё зависти от того что передаст устанавливающий тип хука EXE-файл,в этом примере

Spy работает как с WH_KEYBOARD так и с WH_GETMESSAGE

 

// back_cool_life

Всё зависит от отого каким способом программа попала в компьютер. Обновите антивирус и просканируейте систему.

Проверьте наличие файла c:\windows\system32\Amhook.exe если файл существует удалите его

****************************************

 

Вот только что с вирустотола, НЕ ОДИН AV не пикнул в сторону файла http://www.virustotal.com/ru/resultado.htm...f7dc9f1d5701a63

 

 

--------------------

AhnLab-V3 2007.11.20.1 2007.11.20 -

AntiVir 7.6.0.34 2007.11.20 -

Authentium 4.93.8 2007.11.20 -

Avast 4.7.1074.0 2007.11.20 -

AVG 7.5.0.503 2007.11.20 -

BitDefender 7.2 2007.11.20 -

CAT-QuickHeal 9.00 2007.11.20 -

ClamAV 0.91.2 2007.11.20 -

DrWeb 4.44.0.09170 2007.11.20 -

eSafe 7.0.15.0 2007.11.14 -

eTrust-Vet 31.3.5311 2007.11.20 -

Ewido 4.0 2007.11.20 -

FileAdvisor 1 2007.11.20 -

Fortinet 3.11.0.0 2007.11.20 -

F-Prot 4.4.2.54 2007.11.19 -

F-Secure 6.70.13030.0 2007.11.20 -

Ikarus T3.1.1.12 2007.11.20 -

Kaspersky 7.0.0.125 2007.11.20 -

McAfee 5166 2007.11.19 -

Microsoft 1.3007 2007.11.20 -

NOD32v2 2673 2007.11.20 -

Norman 5.80.02 2007.11.20 -

Panda 9.0.0.4 2007.11.20 -

Prevx1 V2 2007.11.20 -

Rising 20.19.10.00 2007.11.20 -

Sophos 4.23.0 2007.11.20 -

Sunbelt 2.2.907.0 2007.11.20 -

Symantec 10 2007.11.20 -

TheHacker 6.2.9.134 2007.11.19 -

VBA32 3.12.2.5 2007.11.20 -

VirusBuster 4.3.26:9 2007.11.20 -

Webwasher-Gateway 6.0.1 2007.11.20 -

------------------------------------------------------------------

starik

starik

Опубликовано
  • Автор
Опубликовано (изменено)

Аналитик ЛК анализируют данный файл 3-и сутки... так и не получил ответа

Изменено пользователем starik

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrew GHJK
      не обображается описание в управляемых устройствах
      Автор Andrew GHJK
      Здравствуйте, есть проблема, что не отображается Описание ПК в Security Center. Не отображается не у всех.  Закономерности найти не могу. Если ставлю с нуля windows - все отлично. На таких же системах давно работающих - не отображаеся
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • vlanzzy
      Вредоносное заражение с task.vbs
      Автор vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Andrey656560
      [РЕШЕНО] Непонятное вредоносное ПО
      Автор Andrey656560
      Здравствуйте, столкнулся с вредоносным ПО.  Сегодня я скачал Kaspersky Premium  и начал полную проверку, и обнаружилось что-то вредоносное в Объекте: Windriver.cmd. Вредносное ПО, который обнаружил это: not-a-virus:HEUR:RiskTool.BAT.Alien.gen Путь C:\ProgramData\Microsoft. Решил я закинуть  этот объект в VirusTotal, а там уже обнаружилось 5 вредоносных ПО: 1 PowerShell/Kryptik.HJ!tr 2Trojan:BAT/Alien.RPA!MTB 3 Not-a-virus:HEUR:RiskTool.BAT.Alien.gen. Удалить не получается(не понимаю
    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      Автор hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
×
×
  • Создать...