Перейти к содержанию

Описания вредоносных програм


starik

Рекомендуемые сообщения

Решил создать серьёзную тему и посвятить её вирусам, точнее описаниям этих самих вирусов. Разрешено выкладывать описания вредоносных программ каторые не имеют описания на viruslist.com/ru, описания вредоносов которых нет в базе КАВ_КИС, (каторые естественно в скорем времени там ДОЛЖНЫ появиться).

-------------------------------------

И вот как бы вступительный взнос - продвинутый клавиатурный_форм-граберный шпион. Продвинутый по причине того что чательно был скрыт kernel-mode руткитом(о руте чуть попозже напишу)

-------------------------------------

 

**********************************

// Struct_Vir_Class_Name

Ratond@_Lab: Trojan-Spy.Win32_PE_DLL.HookLogBlock

/* Обнаружен 19.11.2007 */

 

// Техническая Информация

Вредоносное ПО является PE DLL файлом, инсталируется в систему с помощью Trojan-DRP.W32.HookInstal. За сохранение данных введёными пользователем

с клавиатуры отвечает PE EXE компанент которому будет передана соответсвующая информация, интересно то что файл который будут записыватся логи

нажатых клавиш создаёт EXE'шный дропер,а протекциию файла обеспечивает библиотекка. Шпион написан на Visual C++ 6, размер 36 килобайт

Точная дата создания 25.08.2004.

 

// Активность

Создаёт файл в каторый сохраняются введёные пользователем данные с:\docum~1\%user%\index.log.DAT, доступ к файлу получить пользователь не может,

при открытии файла будет выведено сообщение об ошибке "доступ к файлу запрещён", используется "Си'шная" протекция, котурую можно обойти

a)Вошли с другой ОС

б)Написали подобное "чудо"

а)Снесли либу - сделать будет не просто так как либа подгружается ко всем процессам

В библеотеки есть функции самозащиты, помимо того что работает с хуками, она получает координаты курсора смотрит что за окошко, и если это окошко

занесено в black лист, окно "тупо прячется". Допустим вы не сможете воспользоваться утилитой от Майкрософт выполнив в камандной строке msconfig

Список окон которые будут скрыты (см.ниже)

ThunderHScrollBar

ThunderVScrollBar

123WScrollBar

Lego.SCROLLBAR

SCROLLBAR

ScrollBa

MSPPage

paneClassDC

EXCEL7

_WwG

A44DwheelMouseSharedMemory

A4WheelMouseYWQ99

MsoCommandBar

OfficeDropdown

ScrollBar

JSScrollBar

Js-SCROLL

OpusRSB и т.д.

Точно нельзя сказать с каким типом хуков работает Spy, всё зависти от того что передаст устанавливающий тип хука EXE-файл,в этом примере

Spy работает как с WH_KEYBOARD так и с WH_GETMESSAGE

 

// back_cool_life

Всё зависит от отого каким способом программа попала в компьютер. Обновите антивирус и просканируейте систему.

Проверьте наличие файла c:\windows\system32\Amhook.exe если файл существует удалите его

****************************************

 

Вот только что с вирустотола, НЕ ОДИН AV не пикнул в сторону файла http://www.virustotal.com/ru/resultado.htm...f7dc9f1d5701a63

 

 

--------------------

AhnLab-V3 2007.11.20.1 2007.11.20 -

AntiVir 7.6.0.34 2007.11.20 -

Authentium 4.93.8 2007.11.20 -

Avast 4.7.1074.0 2007.11.20 -

AVG 7.5.0.503 2007.11.20 -

BitDefender 7.2 2007.11.20 -

CAT-QuickHeal 9.00 2007.11.20 -

ClamAV 0.91.2 2007.11.20 -

DrWeb 4.44.0.09170 2007.11.20 -

eSafe 7.0.15.0 2007.11.14 -

eTrust-Vet 31.3.5311 2007.11.20 -

Ewido 4.0 2007.11.20 -

FileAdvisor 1 2007.11.20 -

Fortinet 3.11.0.0 2007.11.20 -

F-Prot 4.4.2.54 2007.11.19 -

F-Secure 6.70.13030.0 2007.11.20 -

Ikarus T3.1.1.12 2007.11.20 -

Kaspersky 7.0.0.125 2007.11.20 -

McAfee 5166 2007.11.19 -

Microsoft 1.3007 2007.11.20 -

NOD32v2 2673 2007.11.20 -

Norman 5.80.02 2007.11.20 -

Panda 9.0.0.4 2007.11.20 -

Prevx1 V2 2007.11.20 -

Rising 20.19.10.00 2007.11.20 -

Sophos 4.23.0 2007.11.20 -

Sunbelt 2.2.907.0 2007.11.20 -

Symantec 10 2007.11.20 -

TheHacker 6.2.9.134 2007.11.19 -

VBA32 3.12.2.5 2007.11.20 -

VirusBuster 4.3.26:9 2007.11.20 -

Webwasher-Gateway 6.0.1 2007.11.20 -

------------------------------------------------------------------

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • mksmith
      От mksmith
      Всем привет,
      Мне нужна помощь с проблемой вредоносного ПО которая постоянно появляется на моем компьютере Я заметил необычное поведение, например частые всплывающие окна и значительное замедление производительности. После сканированя Kaspersky было обнаружено несколько угроз но даже после выполнения предлагаемых шагов по их удалению проблемы сохраняются,
      Также я использовал Kaspersky Virus Removal Tool и выполнил полное сканирование системы, но я все еще вижу симптом заражения Я беспокоюсь о безопасноти своих данных и конфиденциальности, потому что мой браузер постоянно перенаправляет меня на неизвестные веб сайты.
      Может ли кто нибудь посоветовать мне, что еще мне следует сделать, чтобы избавиться от этого вредоносного ПО?? Есть ли какие-то конкретные инструменты или методы, которые вы рекомендуете для полной очистки??
      Кроме того, я нашел эти ресурсы, когда проводил исследование по этому вопросу https://forum.kasperskyclub.ru/rpa-Interview-questopic/464326-netmalwareurl/ и если у кого tо есть какие либо ресурсы, руководства или личный опыт, пожалуйста, поделитесь со мной, я буду очень признателен!!
       
      Спасибо

       
    • ***Leeloo***
      От ***Leeloo***
      Банк России опубликовал статистику, согласно которой за первый квартал 2024 года банки отразили почти 14 млн попыток похищения денежных средств граждан кибермошенниками. Вместе с тем, злоумышленникам все-таки удалось украсть более 4,3 млрд руб. Увы! вернуть похищенное удалось только 7.7% от этой суммы. Большинство хищений произвелось с помощью социальной инженерий и телефонной связи.Многие люди считают, что аферисты обладают неким гипнозом, заставляя выполнять указания. Однако, как объяснила психолог, жертвы поддаются уговорам не из-за гипноза, а из-за особенностей работы человеческого организма во время стресса. В связи с чем мошенники могут обмануть практически любого человека.Мошенники во время звонка создают стрессовую для жертвы ситуацию. В частности, рассказывают о попытке кражи денег, оформления кредита, возбуждении уголовного дела и так далее. Человек, понятное дело, начинает нервничать.

      Далее в его организме начинает вырабатываться кортизол и адреналин, активизируется центр принятия эмоциональных решений (амигдала), в результате чего человек перестаёт рационально мыслить. Потому и совершает глупые поступки, на которые никогда не пойдёт в спокойной ситуации.Процесс работы амигдалы может длиться от двух секунд до нескольких дней, если стрессовая ситуация продолжается. Всё индивидуально, зависит от организма. Поэтому неудивительно, что некоторые люди могут переводить деньги мошенникам в течение недели.
      Один из самых лучших способов защиты от мошенников - это не разговаривать с ними вовсе. Можно сразу класть трубку, услышав про некие проблемы со счётом, картой и так далее. Можно вовсе не отвечать на звонки с незнакомых номеров.
      Есть ещё один способ мошенников,связанный с мессенджерами.

      Почти у всех есть мессенджеры и большинство пользуются ими.Как не попасть к мошенникам в сети обмана.На своём примере покажу факт обмана и как ему противостоять. После того, как появились интернет магазины в том числе и такие как маркетплейсы ОЗОН и Wildberries.Кстати многие пользуются их услугами и мошенники тоже хотят их использовать.Присылая вот такие заманчивые сообщения

      Для того чтобы проверить информацию о таком сообщении.Достаточно перейти на сам маркетплейс в раздел "Безопасность" 

      Как видим маркетплейсы, не используют мессенджеры.В результате можно догадаться кто стоит за этим сообщением и о его цели. Результат, которого будет в раскрытии вашей финансовой секретной информации.При этом будет просить какие то документы в виде паспорта для оформлении договора и т.д.,а также и номера и пин коды банковских карт,куда якобы перечислять финансовое вознаграждение.
      Будьте внимательны и осмотрительны.Особенно бдительны к разным заманчивым предложениям.
       
×
×
  • Создать...