Powrót do strony HAKER         Nowy Głogów

Biuletyn bezpieczeństwa informatycznego

Powrót do spisu newsów
Baza wirusów (29.12.2010r.)
29-12-2010-środa 14:04:33 - Drukuj - Wyślij e-mailem

*Troj/FakeAV-CFB (trojan)
*Mal/PWS-FD (spyware)
*Mal/Agent-NU (spyware)

*Troj/FakeAV-CFB jest trojanem który przesyła poufne informacje o zainfekowanym systemie do serwera napastnika oraz może też pobrać inne szkodliwe pliki i je zainstalować na system. Samodzielnie nie replikuje się, rozpowszechniany może być wszelkimi mozliwymi sposobami pozwalającymi na przesyłanie plików, najczęsciej bedą to: poczta elektroniczna, komunikatory, złosliwe strony internetowe, kanały IRC. Instalacja nastepuje po uruchomieniu szkodliwego pliku przez nieświadomego użytkownika systemu pod pozorem pożytecznego programu lub dodatku.  Działa na systemach: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.
Dane pliku:
Size 307K
SHA-1 5529db3221aaf807578aedd189f96118fed17059
MD5 2226392af1fa013ee8cde28399aacfa0
CRC-32 f12354e3
File type application/x-ms-dos-executable
Inne nazwy:
Avira - TR/Crypt.ZPACK.Gen2
Uruchomiony tworzy pliki:
c:\Documents and Settings\test user\Local Settings\Application Data\ximmt.exe
c:\Documents and Settings\test user\Start Menu\Programs\Security Shield.lnk
Tworzy procesy:
c:\docume~1\support\locals~1\applic~1\ximmt.exe
c:\windows\system32\cmd.exe
c:\windows\system32\ping.exe
c:\windows\system32\taskkill.exe
Usuwanie:
-wyłącz przywracanie systemu
-zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pelne skanowanie systemu programem antywirusowym
-wyczyść rejestr za pomoca programu do czyszczenia rejestru
-po ponownym uruchomieniu systemu w trybie normalnym można włączyć przywracanie systemu
Czasami może pobrac inne szkodliwe pliki i je zainstalowac wówczas zaleca sie bardziej skuteczne sposoby usuwania i wykrywania szkodników.
Usuwanie:
-pobierz program antywirusowy w postaci płyty bootowalnej
-wyłącz przywracanie systemu
-po restarcie wykonaj skanowanie za pośrednictwem płyty bootowalnej antywirusowej
-uruchom nastepnie system w trybie awaryjnym
-wykonaj czyszczenie rejestru za pomoca programu do czyszczenia rejestru
-ponownie uruchom system i zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pełne skanowanie systemu programem antywirusowym
-wykonaj czyszczenie rejestru programem do czyszczenia rejestru
-po ponownym uruchomieniu systemu mozna włączyć przywracanie systemu

*Mal/PWS-FD należy do programów szpiegujacych wykradajacych niektóre informacje o zakażonym systemie i je przesyła na serwer napastnika. Może wystepować w kiku wersjach konfiguracyjnych, zmienne sa wówczas dane na temat instalowanych plików, zmian w rejestrach oraz wykonywanych polaczeń. Może tez wykorzystywac rózne procesy systemowe do wykonywania połączeń. Samodzielnie nie replikuje się, rozpowszechniany może być wszelkimi mozliwymi sposobami pozwalającymi na przesyłanie plików, najczęsciej bedą to: poczta elektroniczna, komunikatory, złosliwe strony internetowe, kanały IRC. Instalacja nastepuje po uruchomieniu szkodliwego pliku przez nieświadomego użytkownika systemu pod pozorem pożytecznego programu lub dodatku.  Działa na systemach: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.
Dane pliku:
przykładowa wersja 1
Size 281K
SHA-1 2d225aff76b19b3e8ea0096e037d7a78a256e439
MD5 7e10ecc254e45804b37bf15332121201
CRC-32 6ed5a615 File type application/x-ms-dos-executable
Przykładowa wersja 2
Size 333K
SHA-1 5aa23c0e8e7ec1842d764f90940db3600867aeda
MD5 00d9cca138b53b1fb6eb924d60f69b3a
CRC-32 b137954b File type application/x-ms-dos-executable
Przykładowa wersja 3
Size 285K
SHA-1 c201ffd12a1a85e7a379910581ecc0e1593949c0
MD5 263dce8c02842bf6dc4edc2c39401013 CRC-32 5ba1a9b9
File type application/x-ms-dos-executable First seen 2010-12-23
WERSJA-1
Uruchomiony tworzy pliki:
C:\WINDOWS\rxing.bat
C:\nod816.bat
C:\WINDOWS\JoachimPeiper.dat
C:\WINDOWS\mssoft.bat
Modyfikuje rejestr dodajac wpisy:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012010122920101230
CacheOptions0x0000000b
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012010121320101220
CacheOptions0x0000000b
Tworzy procesy:
c:\windows\explorer.exe
c:\windows\system32\cmd.exe
c:\windows\system32\taskkill.exe
Może przekierowywać połączenia internetowe przegladarek internetowych, wysyła informacje o zakazonym systemie na serwer napastnika.
WERSJA 2
Uruchomiony tworzy pliki:
C:\WINDOWS\mssoft.bat
C:\WINDOWS\JoachimPeiper.dat
Tworzy procesy:
c:\windows\system32\cmd.exe
c:\windows\system32\taskkill.exe
WERSJA 3
Uruchomiony tworzy pliki:
C:\nod816.bat
C:\WINDOWS\rxing.bat
C:\WINDOWS\JoachimPeiper.dat
Tworzy proces:
c:\windows\explorer.exe
Przypuszczalnie moga być jeszcze inne wersje tego szkodnika, przypuszczalnie niektóre wersje moga pobierać zdalnie i instalować szkodliwe pliki.
Usuwanie:
-wyłącz przywracanie systemu
-zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pelne skanowanie systemu programem antywirusowym
-wyczyść rejestr za pomoca programu do czyszczenia rejestru
-po ponownym uruchomieniu systemu w trybie normalnym można włączyć przywracanie systemu
Czasami może pobrac inne szkodliwe pliki i je zainstalowac wówczas zaleca sie bardziej skuteczne sposoby usuwania i wykrywania szkodników.
Usuwanie:
-pobierz program antywirusowy w postaci płyty bootowalnej
-wyłącz przywracanie systemu
-po restarcie wykonaj skanowanie za pośrednictwem płyty bootowalnej antywirusowej
-uruchom nastepnie system w trybie awaryjnym
-wykonaj czyszczenie rejestru za pomoca programu do czyszczenia rejestru
-ponownie uruchom system i zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pełne skanowanie systemu programem antywirusowym
-wykonaj czyszczenie rejestru programem do czyszczenia rejestru
-po ponownym uruchomieniu systemu mozna włączyć przywracanie systemu

*Mal/Agent-NU jest spywarem który może modyfikowac pliki systemowe, zmieniać ustawienia połączeń sieciowych, przesylać informacje na temat zainfekowanego systemu na serwer napastnika. Przypuszczalnie moga byc wersje pobierające inne szkodliwe pliki i instalujace je na system. Może być wykorzystany do przekierowania połączeń napastnika przez zakazony system oraz do wysyłania spamu. Samodzielnie nie replikuje się, rozpowszechniany może być wszelkimi mozliwymi sposobami pozwalającymi na przesyłanie plików, najczęsciej bedą to: poczta elektroniczna, komunikatory, złosliwe strony internetowe, kanały IRC. Instalacja nastepuje po uruchomieniu szkodliwego pliku przez nieświadomego użytkownika systemu pod pozorem pożytecznego programu lub dodatku.  Działa na systemach: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.
W zależności od wersji może miec rózne dane plików.
Uruchomiony tworzy plik;
C:\WINDOWS\system32\taskmngr.exe
Modyfikuje rejestry systemowe dodajac wpisy:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task managertaskmngr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Task managertaskmngr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Task managertaskmngr.exe
Modyfikuje rejestry systemowe zmieniajac wpisy na:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOMN
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous0x00000001
Tworzy proces:
c:\windows\system32\taskmngr.exe
Wykorzystuje do połaczeń jako sewer pośredniczacy kanały serwerów IRC. Za pośrednictwem tych kanałów napastnik również może wysyłac niektore polecenia dla zakazonego systemu.
Usuwanie:
-wyłącz przywracanie systemu
-zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pelne skanowanie systemu programem antywirusowym
-wyczyść rejestr za pomoca programu do czyszczenia rejestru
-po ponownym uruchomieniu systemu w trybie normalnym można włączyć przywracanie systemu
Czasami może pobrac inne szkodliwe pliki i je zainstalowac wówczas zaleca sie bardziej skuteczne sposoby usuwania i wykrywania szkodników.
Usuwanie:
-pobierz program antywirusowy w postaci płyty bootowalnej
-wyłącz przywracanie systemu
-po restarcie wykonaj skanowanie za pośrednictwem płyty bootowalnej antywirusowej
-uruchom nastepnie system w trybie awaryjnym
-wykonaj czyszczenie rejestru za pomoca programu do czyszczenia rejestru
-ponownie uruchom system i zaktualizuj bazę definicji wirusów
-uruchom system w trybie awaryjnym
-wykonaj pełne skanowanie systemu programem antywirusowym
-wykonaj czyszczenie rejestru programem do czyszczenia rejestru
-po ponownym uruchomieniu systemu mozna włączyć przywracanie systemu

 

TadeuszFantom
 
Źródło 1: http://www.sophos.com/
Komentarze(0) :: Dodaj komentarz

«Spis newsów


System newsów jest obsługiwany przez serwis
free4web - Darmowe narzędzia dla webmasterów.




Strona główna00000000000000000000000000000000000000000000