Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 20.07.2010, 19:38

Trojan.Win32. Vilsel.ato

16 июля, 2010

Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1083904 байт. Упакован неизвестным упаковшиком, распакованный размер ~2600 к.б.

Деструктивная активность

Отключает системный Firewall изменяя значение следующего ключа реестра:
[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile] EnableFirewall=0
Пытается завершить процессы в именах которых присутствуют следующие строки: AvSynMgr
naPrdMgr
vshwin32
McShield
mcshield
Mcdetect
mcagent
mcdash
mcvsshld
mcvsescn
mctskshd
MpfService
mcvs
opscan
ccapp
norton
SAVScan
ccApp
ccEvtMgr
ISSVC
SBServ
symlcsvc
SPBBCSvc
nod32krn
navapsvc
nava
nisum
nisserv
navwnt
AvpM
avpm
klswd
kav
kavsc avp.
AVGUARD
avguard
AVGNT
avgnt
sched
pavsrv51
AVENGINE
PNMSRV
PsImSvc
SRVLOAD
APVXDWIN
PavFnSvr
TPSrv
Inicio
pavcl
ntrtscan
OfcPfwSvc
PccNTMon
pccntupd
PNTIOMON
schupd
scan
fprot
avwin
ave32
isafe
tmntsrv
fsav32
avkwctl
ashServ
dvpapi tsc
webtrap
TMOAgent
TeaTimer
sdhelper
Spybot
spybot
MSASCui
guard
ewido
avgas
avgemc
gcas
sunas
spys
ActiveDetection
blackd
fsdfwd
smc
zlclient
persfw
efpeadm
fsguiexe
kpf4gui
pccpfw

msscli
Tmas
swdoctor
spyc
ccsetmgr
ctagent
vsmon
webscan
dbgmgr
avp32
bdss
xcommsvr
avgamsvr
avfwsvc
avgupsvc
nvcpl
zonealarm
zlclient
scan
virus
firewall
protect
secure
optimize
nod32
mpf
agent
drweb
alert
avscan
kpf4
msblast
cfp
zapro
zonea
ave32
avp.
_av

При запуске троян регистрируется на сайте злоумышленников, открывая следующую ссылку:
http://fc.web********.de/as_noscript.php?name=load3
Скачивает файл по следующей ссылке:
http://fc.web********.de/as_noscript.php?name=rn
Скачанный файл сохраняется во временную папку под следующим именем:
%Temp%\<rnd>.tmp
где <rnd> один из следующих вариантов:
prun
rasesnet
wavvsnet
winvsnet
xpre
и после успешной закачки запускается на выполнение, после чего троян Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок!
До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК!
подчищает историю ссылок в Internet Explorer и завершает свою работу.

20.07.2010, 19:38	#3
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Trojan.Win32. Vilsel.ato 16 июля, 2010 Троянская программа, которая скачивает и устанавливает другие вредоносные программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1083904 байт. Упакован неизвестным упаковшиком, распакованный размер ~2600 к.б. Деструктивная активность Отключает системный Firewall изменяя значение следующего ключа реестра: [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile] EnableFirewall=0 Пытается завершить процессы в именах которых присутствуют следующие строки: AvSynMgr naPrdMgr vshwin32 McShield mcshield Mcdetect mcagent mcdash mcvsshld mcvsescn mctskshd MpfService mcvs opscan ccapp norton SAVScan ccApp ccEvtMgr ISSVC SBServ symlcsvc SPBBCSvc nod32krn navapsvc nava nisum nisserv navwnt AvpM avpm klswd kav kavsc avp. AVGUARD avguard AVGNT avgnt sched pavsrv51 AVENGINE PNMSRV PsImSvc SRVLOAD APVXDWIN PavFnSvr TPSrv Inicio pavcl ntrtscan OfcPfwSvc PccNTMon pccntupd PNTIOMON schupd scan fprot avwin ave32 isafe tmntsrv fsav32 avkwctl ashServ dvpapi tsc webtrap TMOAgent TeaTimer sdhelper Spybot spybot MSASCui guard ewido avgas avgemc gcas sunas spys ActiveDetection blackd fsdfwd smc zlclient persfw efpeadm fsguiexe kpf4gui pccpfw msscli Tmas swdoctor spyc ccsetmgr ctagent vsmon webscan dbgmgr avp32 bdss xcommsvr avgamsvr avfwsvc avgupsvc nvcpl zonealarm zlclient scan virus firewall protect secure optimize nod32 mpf agent drweb alert avscan kpf4 msblast cfp zapro zonea ave32 avp. _av При запуске троян регистрируется на сайте злоумышленников, открывая следующую ссылку: http://fc.web******.de/as_noscript.php?name=load3 Скачивает файл по следующей ссылке: http://fc.web******.de/as_noscript.php?name=rn Скачанный файл сохраняется во временную папку под следующим именем: %Temp%\<rnd>.tmp где <rnd> один из следующих вариантов: prun rasesnet wavvsnet winvsnet xpre и после успешной закачки запускается на выполнение, после чего троян Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок! До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК! подчищает историю ссылок в Internet Explorer и завершает свою работу. __________________