http://www.infoprof.pl/wirusy.php InfoProf - wirusy i malware pl http://infoprof.pl/rss.php http://www.infoprof.pl/ 38 50 InfoProf - wirusy i malware Ten koń trojański wyposażony w rootkita posiada możliwość maskowania swojej obecności w systemie. Składa się z dwóch elementów - samego trojana (działającego w przestrzeni użytkownika jako proces) oraz rootkita będącego sterownikiem jądra, który maskuje obecność wspomnianego wcześniej procesu (zarówno w zakresie jego widoczności w systemie plików jak też aktywności sieciowej). Po uruchomieniu, tworzy on w systemie plik system32\sysrest32.exe będący procesem samego trojana. Plik szkodnika zapisując się, niszczy narzędzie systemowe o tej samej nazwie. Następnym etapem jest włączenie rootkita poziomu jądra, który ładowany jest z upuszczonego pliku system32\sysrest.sys. Po uruchomieniu, osłania on wskazane przez twórców szkodnika pliki i procesy. Dokonuje też szeregu modyfikacji w rejestrze. Po pomyślnym zainstalowaniu trojana, stara się on połączyć z serwerem w domenie .racker.ws. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=NTRootKit-J!58F4C9BD http://www.infoprof.pl/wirusy.php?jmp=NTRootKit-J!58F4C9BD Zadaniem tego trojana jest kradzież adresów mailowych oraz danych innych danych systemowych z maszyny oraz wysyła te dane na zdalny serwer. Szkodnik instaluje w systemie rootkita jako sterowniki filtra pakietów oraz sterowniki systemu plików. Trojan dodaje do systemu następujące urządzenia: FileSystem\Ntfs \Ntfs, Driver\Tcpip \Device\Tcp, Driver\Tcpip \Device\Udp, Driver\Tcpip \Device\Ip, \Driver\Tcpip \Device\RawIp, Driver\Tcpip \Device\IPMULTICAST. Ponadto wstrzykuje swój kod do procesu Services.exe. Wysyła ponadto zaszyfrowane dane na predefiniowane adresy wykorzystując w tym celu metodę HTTP POST Może też testować dostępność połączenia i dostęp poprzez protokół SMTP korzystając z następujących domen: google.com, yahoo.com, aol.com, microsoft.com. Gdy działa, ten trojan wykazuje się pewnymi zachowaniami typowymi dla rootkitów, instalując kotwice w systemie, mające na celu blokowanie dostępu innych procesów do określonych kluczy rejestru oraz zdarzeń systemu: ntoskrnl.exe!ZwCreateKey, ntoskrnl.exe!ZwOpenKey, ntoskrnl.exe!ZwCreateEvent. Szkodnik stara się również zablokować odwołania do obiektów jądra obsługiwanych przez interface DKOM. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=Spy-Agent.bv!01f7cc2a http://www.infoprof.pl/wirusy.php?jmp=Spy-Agent.bv!01f7cc2a Zadaniem szkodnika jest przede wszystkim infekowanie plików wykonywalnych. W trakcie instalacji szkodnik uruchamia usługę nasłuchującą pakietów UDP na porcie 4564. Następnie tworzy swoją kopię w domyślnym katalogu systemowym, podkatalogu Drivers. Niestety kopia ta ma losową nazwę i rozszerzenie sys. Szkodnik dodaje się do listy uprawnionych aplikacji. Wirus stara się także utrudnić użytkownikowi usunięcie go i usuwa następujące klucze rejestru HKLM\SYSTEM\ControlSet001\Control\SafeBoot\*, HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\* Szkodnik infekuje wszystkie pliki o rozszerzeniach .exe, oraz .scr na wszystkich lokalnych i wymienialnych napędach, pomija jednakże pliki znajdujące się w katalogach: WINDOWS, SYSTEM, SYSTEM32. Ponadto upuszcza swoje pliki o nazwach asc3360pr.scr, asc3360pr.pif oraz asc3360pr.exe na wszystkie dostępne napędy. Pobiera inne szkodniki z kilku predefiniowanych stron. Stara się także zatrzymać usługi w nazwach których występują następujące ciągi znaków: Agnitum Client Security Service, ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web ScannerAVP, BackWeb Plug-in - 4476822, bdss, BGLiveSvc, BlackICE, CAISafe, ccEvtMgr, ccProxy, ccSetMgr, Eset Service, F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, F-Secure Gatekeeper Handler Starter, fshttps, FSMA, InoRPC, InoRT, InoTask, ISSVC, KPF4, LavasoftFirewall, LIVESRV, McAfeeFramework, McShield, McTaskManager, navapsvc, NOD32krn, NPFMntor, NSCService, Outpost Firewall main module, OutpostFirewall, PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC, RapApp, SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC, Tmntsrv, TmPfw, tmproxy, UmxAgent, UmxCfg, UmxLU, UmxPol, vsmon, VSSERV, WebrootDesktopFirewallDataService, WebrootFirewall, XCOMM. Wirus poszukuje także i usuwa pliki o następujących rozszerzeniach: .vdb, .key, .avc. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=W32/Sality.ah http://www.infoprof.pl/wirusy.php?jmp=W32/Sality.ah Szkodnik kopiuje się do domyślnego katalogu systemowego jako plik o nazwie mssrv32.exe. Rejestruje się w systemie jako usługa o nazwie "Microsoft security update iservice" i opisie "This service downloading and installing Windows security updates". Trojan wstrzykuje siebie do wnętrza działającego procesu svchost.exe. Później szkodnik próbuje korzystając z metody POST protokołu HTTP, aby wysłać informacje o skompromitowanej maszynie pod predefiniowany adres. Następnie otwiera backdoora do skompromitowanego komputera. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=Lancafdo http://www.infoprof.pl/wirusy.php?jmp=Lancafdo W trakcie instalacji szkodnik kopiuje się do domyślnego katalogu systemowego jako plik o nazwie regscv32.exe a następnie upuszcza do tego samego katalogu plik o nazwie Norma32.dll. Biblioteka ta jest wstrzykiwana później do procesu Explorer.exe. backdoor upuszcza także do katalogu tymczasowego plik o nazwie usbdrv.exe. Zadaniem tego pliku na odmianę jest upuszczenie do systemu kolejnej biblioteki dll o losowej nazwie. Biblioteka ta zostanie następnie wstrzyknięta do działających instancji svchost.exe. Po tym wstrzyknięciu, plik usbdrv.exe zostanie usunięty z systemu. Zmodyfikowany proces będzie służył m.in. do otwarcia backdoora i połączenia z predefiiowaną lokalizacją. Szkodnik zostanie także zarejestrowany w systemie jako usługa o nazwie RegSrcv. Ponadto z rejestru usunięte zostaną klucze odpowiedzialne za prawidłową obsługę DHCP. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=BackDoor-CKB!218F9A89 http://www.infoprof.pl/wirusy.php?jmp=BackDoor-CKB!218F9A89 Szkodnik zjawia się jako załącznik do spamowego maila. W środku archiwum zip znajduje się plik o nazwie ups_invoice.exe. Po uruchomieniu, trojan modyfikuje plik systemowy userinit.exe uzupełniając go swoim kodem, zaś oryginalny plik kopiuje i zapisuje jako plik userini.exe także w domyślnym katalogu systemowym. Później stara się połączyć z predefiniowaną stroną. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=Downloader.Diliv http://www.infoprof.pl/wirusy.php?jmp=Downloader.Diliv Ten trojan służy do wykradania danych o grach on-line. Szkodnik stara się pobrać dane o zalogowanym użytkowniku systemu, jego haśle, numerach do gier (tzw. cd-key). Tworzy w folderze tymczasowym profilu danego użytkownika %USER_PROFILE%\Local Settings\Temp\ plik o nazwie BAK[...]ow.dll który jest kopią szkodnika. Część nazwy pliku (...) zawiera losowe znaki. Trojan wstrzykuje swój kod do innych procesów (np: explorer.exe). Szczególnym zainteresowaniem twórców trojana cieszą się dane dotyczące gry World of Warcraft. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=PWS-OnlineGames.BC http://www.infoprof.pl/wirusy.php?jmp=PWS-OnlineGames.BC Ten plik jest modułem rootkita wykorzystywanym przez konia trojańskiego. Moduł ukrywa pliki, procesy i klucze rejestru szkodnika poprzez modyfikację niektórych funkcji systemowych zawartych w module systemu Ntoskrnl.exe. Plik nie występuje solowo - zawsze jest instalowany wraz z jakimś innym szkodnikiem. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=VAnti.sys http://www.infoprof.pl/wirusy.php?jmp=VAnti.sys Trojan posiada możliwość logowania klawiatury i jest nastawiony na aktywowanie się w chwili gdy z zainfekowanego komputera odwiedzana jest strona o charakterze bankowym. Szkodnik nie ukrywa się w systemie - jest widoczny w managerze zadań oraz w kluczach startowych rejestru. Tworzy plik o nazwie .exe (część nazwy pliku przed kropką rozdzielającą nazwę i rozszerzenie jest pusta), a następnie umieszcza go w folderach systemowych: c:\windows\ oraz c:\windows\system32. W rejestrze wpis szkodnika znajduje się w kluczu: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ jako "C:\WINDOWS\.exe". Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=PWS-Banker.CP http://www.infoprof.pl/wirusy.php?jmp=PWS-Banker.CP Szkodnik jest przenoszony przez TSPY_LDPINCH.ASG. Może być także pobrany do komputera ze specjalnie przygotowanej szkodliwej strony. W trakcie instalacji szkodnik otwiera ukryta instancję Internet Explorera i stara się pobrać z sieci plik o nazwie: xinch.exe. Modyfikuje także rejestr dopisując się do listy uprawnionych aplikacji i w ten sposób obchodząc Firewall Windows. Szkodnik kradnie dane ( loginy i hasła) do następujących programów: INETCOMM Server, Microsoft Outlook, Mirabilis ICQ, Opera Software, The Bat!, Total Commander, Trillian. Wed, 23 Jul 2008 17:28:54 +0200 http://www.infoprof.pl/wirusy.php?jmp=TSPY_LDPINCH.ASG http://www.infoprof.pl/wirusy.php?jmp=TSPY_LDPINCH.ASG