Backdoor.Death (семейство) Семейсто троянский конь, позволяющий незаметно получить доступ к удаленному компьютеру, а также украсть пароли пользователя. Включает в себя три компоненты: сервер, клиент и утилита для настройки серверной компоненты.
Утилита для настройки
Позволяет сконфигурировать сервер под нужды злоумышленика, например: изменить имя файла сервера; задать способ регистрации в системе; задать значок (иконку) сервера; e-mail, на который будут отсылаться украденные пароли; изменить логику работы с firewall, если он установлен у пользоватля-"жертвы"; и др. Утилита так же позволяет присоединить сервер к другому исполняемому файлу.
Сервер
При запуске сервер копируется в системный каталог, заданный утилитой настройки. При этом сервер регистрирует себя либо в системном реестре, либо в файлах system.ini или win.ini. Таким образом, сервер гарантирует собственный запуск при загрузке операционной системы.
Сервер может определить наличие никоторых антивирусов на зараженном компьютере. В случае обнаружения он их закрывает, что усложняет обнаружение серверной компоненты. Также сервер может определить, установлен ли какой-нибудь персональный firewall у "жертвы". Если задано настройками, он может удалить из памяти процесс firewall'а, позволяя таким образом самому себе незаметно передать информацию по сети.
Серверная компонента имеет функцию мониторинга клавиатуры - все нажимаемые клавиши будут записываться в лог-файл, который затем может быть получен злоумышленником. Одна из функций сервера - воровство паролей пользователя и пересылка их на e-mail злоумышленника, установленный при настройке сервера.
Кроме того, при соединении с Интернет сервер посылает сообщение на сайт http://ldteam.org. Злоумышленник, который владеет данной серверной компонентой, зарегистрировавшись на этом сайте, может просмотреть, какие сервера сейчас доступны.
Клиент
Клиентская часть позволяет злоумышленнику подключиться к серверу и выполнить ряд действий, например:
- просмотреть пароли, кэшированые системой;
- просмотреть список открытых окон у пользователя;
- манипулировать фаловой системой (копирование, перемещение, удаление файлов и каталогов);
- получить картинку (скрин-шот) экрана;
- манипулировать реестром;
- послать сообщение "жертве" или вызвать ее в чат.
Trojan.PSW.Dler
Эта программа относится к семейству "trojan downloader".
При запуске троянец инсталлирует себя в систему: копирует в главный каталог Windows или в системный каталог Windows и регистрирует в системном реестре в секции авто-запуска. Затем он скачивает и запускает других троянцев с серверов злоумышленника, опционально устанавливает их в секции автозагрузки реестра.
Имя файла-троянца, каталог установки (Windows или WindowsSYSTEM) и ключ реестра могут быть изменены злоумышленником перед рассылкой троянского файла. Все эти значения хранятся в конце троянского файла в зашифрованном виде.
Trojan.Win32.SpyAg (aka Trojan.Spy.SpyAgent)
Программа-шпион SpyAgent предназначена для скрытого сбора информации о пользователе, работающем на компьютере. Она осуществляет мониторинг нажатых клавиш, выполняемых приложений, сетевых соединений, просматриваемых документов и вводимых пользователем паролей, а также периодически "фотографирует" экран и записывает полученные "снимки" в специальный каталог в виде отдельных файлов.
В зависимости от конфигурации программа SpyAgent:
*
скрытно устанавливается в систему
*
во время работы ничем не выдает своего присутствия
*
выполняет несанкционированный пользователем сбор персональных данных
*
отсылает полученные данные на заданный электронный адрес
При инсталляции регистрирует себя в ключе автозапуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Srv32Win
"Снимки" экрана сохраняет в файлы "wincfg*.*" в подкаталоге каталога Windows.
TrojanDownloader.Win32.Checkin
Троянский конь, который скачивает с определенного сайта заданный файл и запускает его на выполнение. Троянец является Windows-исполнимым PE EXE-файлом, Написан на MS Visual C++.
Размер троянца:
"Checkin.a": 50Kb
"Checkin.b": 45Kb
Троянец не копирует себя в систему, но создает ключ в реестре для запуска при старте системы:
"Checkin.a":
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
SysReg = %SystemDir%SysReg
"Checkin.b":
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
OWMngr = %SystemDir%OWMngr.exe
Троянец также создаёт свои собственные ключи реестра:
HKCUSoftwareIExplore
Ads
AID
ID
LoggedIn
Затем троянец остается в памяти Windows как активный процесс (процесс виден в списке задач), скачивает с определенного сайта файл, записывает его на диск под именем:
"Checkin.a": update.exe
"Checkin.a": updates.exe
и затем запускает на выполнение. Имя web-сайта и скачиваемого файла может меняться, троянец считывает эти имена с сайта:
"Checkin.a": http://tp.searchseekfind.com
"Checkin.b": http://ads.onwebmedia.com
используя скрипт "Checkin.pl" на указанном сайте.
TrojanDownloader.Win32.Greetyah
Троянская программа загружает из интернета файл и устанавливает его в ключе авто-запуска системного реестра. Массовая рассылка письма со ссылкой на эту программу была зафиксирована 17 марта 2003 года.
Пример рассылаемого письма:
Date: Mon, 17 Mar 2003 14:57:57
From: replymsg@g1.gc.vip.sc5.yahoo.com
To: Ivan Petrov
Subject: Elena_M sent you a Yahoo! Greeting
Yahoo! Greetings
Surprise! You've just received a Yahoo! Greeting
from from "Elena_M" (elena_m@mail.ru)!
To view this greeting card, click on the following
Web address at anytime within the next 30 days.
http://view.greetings.yahoo.com/greet/view?***********
If that doesn't work, go to http://view.greetings.yahoo.com/pickup and copy and paste this code:
BJWU37Y2S4A
Enjoy!
The Yahoo! Greetings Team
c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/
Программа написана на языке ассемблера. Размер файла 3072 байт. После старта программа выводит диалоговое окно:
Затем программа загружает исполняемый файл: sysman32.exe с сайта http://view-greetings-yahoo.com. Файл sysman32.exe содержит код другой троянской программы: Trojan.WebMoney.WMPatch.b
Троянская программа сохраняет этот файл в системном каталоге Windows и устанавливает его автозапуск в ключе системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemManager=sysman32.exe
Программа содержит зашифрованные строки текста:
Error Error on line 25: invalid object
Do you want to debug? InternetOpenA InternetOpenUrlA InternetReadFile
RegOpenKeyA RegSetValueExA RegCloseKey CloseHandle CreateFileA
GetSystemDirectoryA WriteFile wininet.dll advapi32.dll kernel32.dll
TrojanDownloader.Win32.Ultimx
Троянский конь, который скачивает с определнного сайта заданный файл и копирует его на доступные в сети компьютеры. Троянец является Windows-исполнимым PE EXE-файлом размером примерно 28 Кб, сжатым утилитой UPX. Написан на MS Visual C++.
При запуске троянец инсталлируется в систему. Он копирует себя в системный каталог %WinDir%System и создает ключ в реестре для своего запуске при старте системы:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
rdvs = %имя файла%
Имя файла выбирается случайным образом. После этого троянец скачивает с сайта http://www.ultimxxx.net/exefiles файл и сохраняет его на диске под именем DIALER.EXE или DIALER123.EXE.
Затем троянец начинает сканировать сеть. При обнаружении компьютера, предоставляющего свои ресурсы для общего пользования, он копирует на этот компьютер файл DIALER.EXE (или DIALER123.exe).
Файл DIALER.EXE (или DIALER123.EXE) является программой автодозвона для установления модемных соединений с частными серверами порнографического содержания (см.описание "not-a-virus:Pornodial.generic").
TrojanDownloader.Win32.WebDown
Эта программа относится к семейству "trojan downloader".
В "троянский комплект" входят Редактор и Троянский сервер.
Редактор позволяет выбрать Web-адрес скачиваемого файла и имя, под которым данный файл будет установлен в систему. В дальнейшем генерируется крайне небольшой (размером менее 3K)Троянский сервер, который при запуске на компьютере жертвы скачивает указанный файл в указанное место диска и запускает его на выполнение.
Троянский сервер в системе не регистрируется (т.е. является троянцем "однократного действия") и ничего более не совершает.
TrojanDropper.JS.Mimail
Программа, написанная на языке JS (JScript) и встроенная в HTM-файл, являющийся MIME-архивом. При открытии для просмотра (при помощи Internet Explorer) данного HTM-файла, скрипт распаковывает и запускает на исполнение произвольный файл, содержащийся в данном архиве.
Скрипт использует уязвимость "Exploit.SelfExecHtml" в Internet Explorer следующих версий:
Microsoft Internet Explorer 5.0 for Windows 2000
Microsoft Internet Explorer 5.0 for Windows 95
Microsoft Internet Explorer 5.0 for Windows 98
Microsoft Internet Explorer 5.0 for Windows NT 4.0
При открытии зараженного HTML-файла никаких сообщений или предупреждений пользователю о запуске исполняемого файла не происходит.
TrojanDropper.Win32.ExeBundle
Является "улучшенной" версией TrojanDropper.Win32.ExeStealth.
Помимо перечисленный возможностей "ExeStealth" способна инсталлировать в систему не только EXE-файлы, но также и файлы с расширениями: COM, BAT, CMD, VBS.
TrojanDropper.Win32.ExeStealth
Программа "ExeStealth" сама по себе не является "троянской", поскольку никаких деструктивных дейтсвий не выполняют. Однако данная программа была разработана для:
*
хранения других программ внутри себя
*
скрытной инсталляции на компьютер этих программ
Т.е. была разработана для скрытия, доставки и установки прочих программ (EXE-файлов) без необходимого запроса разрешения пользователя. Таким образом, "ExeStealth" является типичным представителем семейства троянских программ "TrojanDropper".
Прочая информация про "ExeStealth":
*
возможна "доставка" только одного EXE-файла
*
файл не инсталлируется, если на компьютере установлен отладчик SoftIce
*
возможно шифрование EXE-файла в теле "ExeStealth"
"Полный комплект" программы "ExeStealth" содержит несколько файлов:
*
троянский "дроппер", к которому дописывается EXE-файл
*
конфигурационная утилита
*
файл "readme.txt" со следующими копирайтами:
EXE Stealth V2.3 Shareware by WebtoolMaster Date: 23.08.2002
http://www.webtoolmaster.com Mail: support@webtoolmaster.com
Несмотря на наличие строк-копирайтов "ExeStealth" классифицируется как "TrojanDropper" и не рекомендуется для использования. Вмето данной программы следует использовать другие (легальные) инсталляторы программ.
Macro.Word97.Trojan.Tvangeste
Макрос - троянский конь. Добавляет в конец файла AUTOEXEC.BAT команды удаляющие все данные на дисках C:,D:,E:, и затем выводит на экран сообщения:
World War starting now!
Tvangeste v 1.0
3rd World War
Затем макрос входит в бесконечный цикл, в котором выводит на экран сообщение:
3rd World War
Tvangeste.b
Сохраняет копию зараженного документа под именем "C:Program FilesMicrosoft OfficeШаблоныkafeln.dot" и добавляет в конец файла AUTOEXEC.BAT команды:
cd C:Program FilesMicrosoft OfficeШаблоныdel normal.dot
ren kafeln.dot normal.dot
Таким образом макрос пытается заменить шаблон "по-умолчанию" на зараженный шаблон, но это работает только в том случае, если каталог шаблонов в MS Word установлен "C:Program FilesMicrosoft OfficeШаблоны".
В файл AUTOEXEC.BAT добавляются команды:
md c:atp_tour
md c:atp_tourkafelnik.001
md c:atp_toursampras.002
md c:atp_tourcorretja.003
md c:atp_tourrafter.004
md c:atp_tourmoya.006
md c:atp_tourhenman.007
md c:atp_tourrios.008
md c:atp_tourphilipou.009
md c:atp_tourkucera.010
md c:atp_tourkrajicek.005
subst k: c:atp_tour >nul
Затем макрос выводит на экран сообщения:
3 мая 1999 года Кафельников - номер 1!!!!!!!!
3 мая 1999 года Кафельников - номер 1!!!!!!!!
Tvangeste v 2.0
Kafelnikov
Trojan.Macro.Excel.Taiwanes
Троянские вирусоподобные программы в электронных таблицах Excel.
Taiwanes.a
Содержит функции: auto_open, WriteBook, OpenExec, OpenConfig, GetPath, DelFiles, SaveProcedure. При открытии зараженного файла Excel автоматически выполняет функцию auto_open. Эта функция содержит команду, которая определяет макрос SaveProcedure как выполняемый при сохранении любой таблицы. При записи файла троянец выдает MessageBox:
Taiwanese Version 2.1 will now infect your system!
Вирус вставляет строки в файл C:AUTOEXEC.BAT:
@Echo Your system has been infected by LATEST MACRO VIRUS Version 2.1 -- Taiwanese
Pause
В C:CONFIG.SYS записывает команды:
Rem You are infected by LATEST MACRO VIRUS Version 2.1-- Taiwanese
[Menu]
MenuItem = WIN95, LATEST MACRO VIRUS Version 2.1
menuitem=DOS, !!!!Safe Recovery!!!!
menudefault=WIN95, 1
[WIN95]
DEVICE=c:WINdowsHIMEM.SYS /TESTMEM:OFF
[DOS]
DEVICE=c:WINdowsHIMEM.SYS /TESTMEM:OFF
DEVICE=c:WINdowsEMM386.EXE RAM NOEMS
FILES = 150
DOS = Low
Стирает все файлы из директорий принадлежащих Word-приложению. Записывает себя 26 раз в каталог автозагрузки макросов Excel под именами BOOK<номер от 65 до 90> и 10000 раз с именами SSCAN<номер от 0 до 9999>, все файлы имеют расширение XLT.
Taiwanes.b
Содержит функции: auto_open, InterruptKey, ESC, WriteCommand, OpenExec, OpenConfig, GetPath, SaveProcedure. Помимо действий, производимых "Taiwanes.a", портит еще и файл COMMAND.COM, но не записывает Excel-файлы в каталог автозагрузки макросов. По нажатию одной из клавиш ESCAPE, ENTER, HOME, INSERT, NUMLOCK, PGDN, PGUP, TAB вызывается макрос "ESC", который выдает MessageBox в китайской кодировке. По завершению своих действий завершает работу Windows.
Trojan.Word.Macro.Format
Троянец в документах MS Word. Содержит единственный макрос: AutoOpen. Вставляет в AUTOEXEC.BAT строки удаления файлов и форматирования винчестера. В текущий документ заносит строки:
RESET seu micro agora seu LAMMER BURRO !!!
Auto-Destruiчуo em 15 seg.
и перезапускает Windows
Trojan.Word.Macro.Nikita
Троянец в документах MS Word. Содержит два макроса: AutoOpen и Fun. Троянский документ также содержит текст "Hello Guys! Oh, please stay here and look!" и изображение рожицы. При открытии зараженного документа копирует макрос "Fun" в область глобальных макросов под именем "AutoOpen", затем увеличивает размер документа (рожицы) на весь экран и двигает изображение. При запуске Word c "зараженным" NORMAL.DOT вирус заполняет диск файлами со случайными именами, в эти файлы записывает текст:
Nikita (1997) Nightmare Joker [SLAM
Trojan.IRC-Hack
Эта программа представляет собой самораспаковывающийся архив, устанавливающий программу для атак на IRC-клиентов. Вместе с этим, в систему устанавливается популярный ftp-сервер Serv-U, настроенный таким образом, что позволяет злоумышленнику получить полный доступ к диску C: компьютера-жертвы. В файл WIN.INI прописывается автоматический скрытый запуск ftp-сервера при запуске системы.
В данном троянце содержится ошибка: он корректно устанавливается только на компьютере, на котором система Windows установлена в каталог C:WINDOWS. Если она установлена в другой каталог, ftp-сервер никогда не запустится. Троянец также не работоспособен под WinNT и Win2000.
Для удаления ftp-сервера необходимо удалить строку "load=closew" в секции [windows] файла WIN.INI, затем перезагрузить компьютер и удалить из каталога C:WINDOWS следующие файлы:
AJOUT.INI
CLOSEW.BAT
INSTLL.BAT
RUNDLLS.EXE
SERV-U.INI
Trojan.Spy.GreenScreen
Троянская программа-шпион. Скрытно иснталлирует себя в систему, периодически "фотографирует" экран, шифрует полученные "снимки" и записывает их в специальный каталог в виде отдельных файлов. Таким образом позволяет злоумышленнику наблюдать за экраном компьютера.
Является приложением Windows (PE EXE-файл), упакована AsPack, написана на Delphi. Размер троянской программы зависит от версии троянца.
При инсталляции копирует себя с именем SERVICES.EXE в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Services
Также записывает команду авто-старта в файл SYSTEM.INI в инструкцию "shell=".
"Снимки" экрана сохраняет в файлы SPCSPC*.* в системном каталоге Windows.
Троянец написан в китае и содержит сообщения на китайском языке.
Trojan.Spy.KIM
Троянский конь, работающий в системе Windows и скрытно записывающий в файл заголовки всех открываемых окон и название кнопок, которые были нажаты в этих окнах.
При запуске устанавливает в систему три файла:
%WinDir%SystemKrnl40.dll
%WinDir%heak.exe
%WinDir%ki.ini
Лог-файл с именем "key.dl" создается в каталоге, где установлена Windows (%WinDir%).
Trojan.Spy.Yitai (aka Yipper)
Троянская программа-шпион. Написана на Visual Basic. При старте считывает все адреса из адресной книги Windows и отсылает их на фиксированный e-mail адрес. Не инсталлирует себя в систему, т.е. является "шпионом" однократного действия.
Yitai.a,c
Размер файла: 20480 байт, отсылает данные на адрес: yitai342@012.net.il
Yitai.b
Размер файла: 36864 байт, отсылает данные на адрес: yipai342@netvision.net.il
Yitai.d
Размер файла: 49152 байт, отсылает данные на адрес: keren@netsite.com.br
Trojan.Win32.Antigen
Троянская программа. При запуске ищет в системе данные о паролях доступа к Интернет, телефонные номера, и т.п. При необходимости расшифровывает их и отсылает в Интернет. Троянец был разослан в несколько конференций под видом антивирусной программы ANTIGEN.EXE. При посылке информации с пораженного компьютера использует адреса:
jcrowl@usa.net
uragan@msn.com
anarch666@iname.com
Trojan.Win32.Coke
При запуске троянец копирует себя в системный каталог Windows (SYSTEM) под именем SHLHMP.EXE и регистрирует его в реестре (Registry) в HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, т.е. при следующей загрузке Windows автоматически запустит файл-троянец. Затем вирус ищет все файлы во всех каталогах на диске, где расположена Windows, за исключением самого каталога Windows, и записывает вместо них строку:
This file cracked by CoKeBoTtLe98
Trojan.Win32.DiskAdmin
Данная программа является наполовину программой-шуткой и наполовину - "троянским конем". При запуске она открывает окно с сообщением о том, что предстоит либо перезагрузка компьютера, либо форматирование диска. Независимо от ответа программа начинает "форматировать" диск. На самом деле форматирования не происходит - вместо форматирования во временном каталоге WINDOWSTEMP создаются 20 файлов со случайными именами и текстом "I am now formatting" внутри. Однако после нескольких запусков программа начинает действовать как троянский конь: она создает большое количество "мусора" во временном каталоге, чем уменьшает ресурсы компьютера.
Trojan.Win32.Dlder
Этот двух компонентный троянец был обнаружен в конце Декабря 2001. Троянец DlDer поставлялся вместе с одим из компонентов интернет игры. Проявления этой компоненты позволяют определить его как троянец-шпион.
Троянец, периодически, загружает или обновляет свою основную компоненту, которая отсылает на интернет сайт конфеденциоальные данные о пользователе:
*
ID пользователся (уникальный для каждого компьютера)
*
IP адрес
*
имя используемого обозревателя интернет
*
адрес текущей просматриваемой веб-страницы
Троянец DlDer поставлялся вместе с программами LimeWire, Kazaa, Grokster и некоторыми другими, которые главным образом используются для обмена файлами в сети интернет (новые версии этих программ распространяются без троянских компонентов DlDer). Троянец устанавливался даже если пользователь не отмечал установку дополнительных компонент.
Основная компонента троянца файл EXPLORER.EXE расположена в папке Windows в подкаталоге EXPLORER (не путайте с настоящим EXPLORER.EXE, который расположен в основной папке Windows, обычно C:Windows или C:WinNT). Эта компонента загружается второй компонентой (downloader) "DLDER.EXE" который располагается в корневой папке Windows.
Троянский компонент DLDER.EXE стартует после установки из выше перечисленных пакетов программ. Он загружает файл EXPLORER.EXE с веб сайта и устанавливает его в подкаталог Explorer папки Windows. Затем троянец устанавливает запуск файла EXPLORER.EXE в ключе автозапуска системного реестра. После перезагрузки запускается файл explorer.exe активизируется и начинает постоянно отсылать информацию о пользователе.
Для удаления троянца DlDer из системы нужно удалить обе троянских компоненты.
Trojan.Win32.Eurosol
Этот "троянский конь" замаскирован под программу выдачи номеров реальных кредитных карт в обмен на просмотр пятнадцати рекламных банеров. На самом деле этот троянец инсталируется в систему и ворует ключевые файлы от программы WebMoney, если она установлена на компьютере жертвы. Эта программа позволяет пользователям производить в системе WebMoney Transfer расчеты виртуальными деньгами за покупки в интернет-магазинах, а также между клиентами системы. Кроме того, виртуальные деньги можно конвертировать в наличную валюту и обратно. Дополнительная информация доступна на сайте www.webmoney.ru.
При запуске "троянского коня" он отображает диалоговое окно с предложением дождаться просмотра рекламных банеров. В это время он копирует себя в каталог %WinDir% (каталог установки системы Windows) под именем Netbios32.exe и регистрирует себя в файле System.ini:
[boot]
shell=Explorer.exe NetBios32.exe /run
Таким образом троянец гарантирует свой скрытый запуск при загрузке операционной системы. Кроме того, он проверяет наличие установленного персонального файрвола ATGuard, и при его обнаружении изменяет ему настройки таким образом, чтобы ATGuard не реагировал на установление TCP/IP соединений файлом Netbios32.exe с внешними серверами. Также создаются несколько служебных файлов в каталоге %WinDir%.
Затем троянец производит поиск установленной программы WebMoney и пути хранения файлов Keys.kwm (секретный ключ) и Purses.kwm (виртуальный "кошелек"). Файлы шифруются и отсылаются на публичный ftp-сервер. В дальнейшем злоумышленник может получить украденные "кошельки" и ключи к ним с этого сервера, и подключить их к своей копии программы WebMoney. После этого он может произвести перевод имеющихся в "кошельках" денег на реальный банковский счет, или получить наличные почтовым переводом на свое имя.
Trojan.Win32.Filecoder
Троянская программа переименовывает и шифрует файлы в подкаталогах локальных и сетевых дисков. Написана на Delphi и упакована утилитой UPX. Размер упакованного файла 137 Кб, распакованного 353 Кб. Программа рассылалась по электронной почте в виде вложенного файла.
Текст письма:
Тема: FWD: Вести с Яндекс-форума
> Уважаемый пользователь Яндекс-форума
> По итогам 2-го квартала CTR Вашего вопроса в форуме
> превысил 22 %
> Примите наши поздравления а также уникальную Яндекс
> заставку (см Вложенный файл) плюс интернет-карту PayCache
> на 10 часов работы в интернете
> С уважением - Администрация
Инсталляция
После старта программа копирует себя в каталог
systemNTFS.exe
и прописывает этот файл в секцию автозапуска системного реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"FsystemTracer"="C:\WINDOWS\system\NTFS.exe"
Затем программа ищет на диске файл с имением EXEADDED (Source name) и запускает его. Source name - имя исходного файла.
Деструктивные проявления
Программа ищет все файлы во всех подкаталогах кроме (WINDOWS) и модифицирует их. Программа переименовывает EXE файлы и записывается вместо них. Новое имя файлов получается добавлением строки "EXEADDED" в начало имени. Для других типов файлов программа переименовывает и зашифровывает их.В зависимости от условий шифровка файлов может не выполняться. Новое имя файла получается добавлением строки "FILEISENCODED" в начало имени. Программа создает 50 файлов в каталоге (Common Desktop) с именами в неправильной кодировке. Файлы содержат текст:
Внимание !!!
На Вашем компьютере произошла порча некоторых файлов
для их восстановления пишите на следующие адреса
superstory@smtp.ru
superstory@ukr.net
вам будут выслана инструкция по восстановлению информации
В целях сохранности Вашей информации не производите с Вашим
компьютером никаких действий (таких как удаление файлов или модификация реестра) до получения инструкций)
Trojan.Win32.FireAnvil
Троянская подпрограмма, встроенная в коммерческий продукт "Firehand Ember Millenium" (произведено американской компанией Firehand Technologies Corporation, http://www.firehand.com ).
Троянец был обнаружен в версии "5.2.3.0" данного продукта в начале сентября 2002. Троянец находился в инсталляционном комплекте, который был доступен для скачивания с Web-сайта компании: http://www.firehand.com/Ember/index.html.
Через неделю после того, как троянские компоненты были обнаружены в данной программе, она была заменена на сайте компании Firehand Technologies на другую версию программы (с тем же номером "5.2.3.0"), где троянские компоненты были удалены.
Троянские подпрограммы обнаружены в двух файлах:
Ember32.exe - основной файл данного программного продукта
fireutil.dll - библиотека
При активизации троянец выводит сообщение:
затем ищет файлы во всех каталогах, расположенных на диске, где установленна Windows, и записывает в низ текст:
CzY CrAcKiNg CrUe! We CrACk EvErYtHiNg!
Активизация троянской подпрограммы происходит при вводе регистрационных данных:
при условии, если в поле "Registered User ID" вводится строка "czy czy" (в любом регистре).
Trojan.Win32.Malantern
Примитивная троянская программа, работает только под Win32, имеет размер около 24K, написана на Visual Basic. Была получена в виде файла IEpatch.EXE.
При старте троянец уничтожает каталог "C:WINDOWSTEMP", затем создает каталоги:
"C:WINDOWSMagic Latern"
"C:WINDOWSFBI software"
"C:WINDOWSJohn ASScroft"
"C:WINDOWSBill Gatez"
"C:WINDOWSDesktop666"
"C:WINDOWSDesktopBin Laden"
"C:WINDOWSDesktop666 WTC"
"C:WINDOWSDesktopMagic Fuckers"
"C:WINDOWSDesktopAgentlinux"
"C:WINDOWSDesktopiFuckedYourWife"
"C:WINDOWSDesktopBiohazard Virii"
затем уничтожает все *.SYS-файлы в аталоге "C:WINDOWSSYSTEM32DRIVERS"
Trojan.Win32.NoStart
Троянская программа для систем Windows. При запуске остается в памяти, не производя никаких заметных действий. При нажатии на кнопку "Start" ("Пуск"), троянец активизирует свою деструктивную процедуру: очищает экран и блокирует систему. Перезагрузка возможна только кнопкой Reset.
Trojan.Win32.Trasher
Примитивный Win32-троянец. При старте копирует себя в системный каталог Windows под именем MFC42W.EXE и регичтрирует его в ключе авто-запуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
MFC42Profile = MFC42W.EXE
Затем троянец ждет около 3-х минут, создает в системном каталоге Windows файл TRASH.BIN и в бесконечном цикле записывает в этот файл случайные данные (в результате чего уменьшает свободное место на диске).
Trojan.Win32.VFL
Программа, позволяющая настроить некоторые параметры Windows при работе с сетью, что может привести, как утверждают авторы, к 100% увеличению скорости при работе в Интернет (подробности см. http://www.optimizator.ru ). При установке программы она производит подмену системного файла SHDOCLC.DLL. В результате, в случае ошибки при отображении в Internet Explorer запрашиваемой страницы, пользователь принудительно переводиться на адрес http://vfl.ru/js. Таким образом, пользователь не получает полноценных сообщений об ошибках, которые возникают во время веб-серфинга. При удалении программы с компьютера файл SHDOCLC.DLL остается измененным.
Данная программа признана "троянским конем", так как:
*
она производит изменение системного файла Windows, вследствии чего пользователь вводиться в заблуждение, так как он больше не получает сообщений об ошибках;
*
программа имеет полноценной процедуры деинсталляции;
*
при удалении программы системный файл SHDOCLC.DLL не восстанавливается;
*
позволяет использовать модифицированные файлы SHDOCLC.DLL, установленные у пользователей, в злонамеренных целях.
Trojan.Win32.VirtualRoot
Эта троянская программа работоспособна только под Win32. Устанавливается в систему червем "CodeRed".
TrojanProxy.Win32.Webber
Троянская программа. Работает под Windows. Создаёт скрытый прокси-сервер (до 100 соединений), отсылает своему "хозяину" IP-адрес зараженного компьютера и кешированные пароли. Также скачивает с Web-сайта дополнительные EXE-файлы и запускает их на заражённом компьютере ("апдейтит" себя).
Данная троянская программа была разослана в виде зараженных писем 16 июля 2003.
Письма содержали:
Вложение "web.da.us.citi.heloc.pif", которое при запуске скачивает и запускает основной EXE-файл троянца.
Тема письма:
Re: Your credit application
Текст письма:
Dear sir,
Thank you for your online application for a Citibank Home Equity Loan.
In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy our minimum needs.
Consequently, we regret to say that we cannot approve you for Citibank Home Equity Loan at this time.
*Attached are copy of your Credit Profile and Your Application that you submitted with us. Please take a close look at it, you will receive hard copy by mail withing next few days.
Инсталляция
При запуске троянец копирует себя в системный каталог Windows со случайным именем и создаёт в том же каталоге дополнительную DLL-компоненту также со случайным именем.
Для автозапуска троянец создаёт следующие ключи в системном реестре:
HKCRCLSID{79FA9088-19CE-715D-D85A-216290C5B738}
InProcServer32 = %trojan DLL name%
ThreadingModel = Apartment
HKLMSoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
Web Event Logger = {79FA9088-19CE-715D-D85A-216290C5B738}
Троянец содержит строку-копирайт:
![[Hush]](../img/no-avatar.gif "[Hush]"){kind=avatar}
Спасибо.