Trojan-Downloader.Win32.Agent.fvcq

Posted: 21st Август 2011 by admin in Защита, Троян, Угрозы
0

Выпуск обновления  -  14.02.2011  15:30 ( МСК)

Детектирование  -  14.02.2011  08:28 ( МСК)

Публикация описания   –   12.08.2011  13:17 ( МСК)

Технические детали:

Разновидность троянской программы. Самостоятельно загружает и запускает  из сети другие вирусные программы и запускает их к выполнению.

Программа написана на Visual Basic и  является приложением Windows.

Размер 24579 байт.

Деструктивное действие:

Вредоносец после запуска загружает файлы с URL адресов:http://ace***riaecobranca.com/RUNPLUDLL.jpg

http://ace***riaecobranca.com/RUNFISDLL.jpg

http://ace***riaecobranca.com/RUNJURDLL.jpg

http://ace***riaecobranca.com/SISDETECT.jpgЗагруженные файлы троянская программа сохраняет под следующими именами:
c:\windows\Prefetch\RUNPLUDLL.exe

C:\Windows\Prefetch\RUNFISDLL.exe

C:\Windows\Prefetch\RUNJURDLL.exeC:\SISDETECT.exe

После этого троянец скачанные файлы запускает к выполнению и завершает работу.Рекомендации по удалению вируса:

1.Удалитьоригинальный файл троянской программы

2.Удалить следующие файлы: c:\windows\Prefetch\RUNPLUDLL.exe

C:\Windows\Prefetch\RUNFISDLL.exe

C:\Windows\Prefetch\RUNJURDLL.exe

C:\SISDETECT.exe3. Проверить компьютер с помощью Антивируса Касперского

Trojan.Java.Agent.am

Posted: 21st Август 2011 by admin in Вирус, Защита, Троян, Угрозы
0

<noindex>Выпуск обновления – 16.02.2011 20:34 ( МСК)
Детектирование – 06.02.2011 14:34 ( МСК)
Публикация описания – 12.08.2011 14:02 ( МСК)
Технические детали
Разновидность троянской программы. Самостоятельно загружает и запускает файлы из сети. Программа –JAR – архив. Содержит class-файлы. Размер 4548 байт.</noindex>
Деструктивное действие:
Программа содержит файлы:
bpac\b.class (1422 байта; детектируется Антивирусом Касперского
как «Trojan.Java.Agent.am»)

bpac\KAVS.class (672 байта; детектируется Антивирусом Касперского
как «Trojan-Downloader.Java.OpenConnection.cg»)

bpac\purok$1.class (481 байт)

bpac\purok.class (3777 байт; детектируется Антивирусом Касперского
как «Trojan-Downloader.Java.Agent.ji»)

Meta-inf\Manifest.mf (71 байт)
Вначале вредонос проверяет Java Runtime Environment – версию на зараженном компьютере. При диапазоне от 1.5.0 до 1.6.0_18 версии JRE вирусная программа начинает свои действия. Класс «purok» приводит в действие функционал, загружающий файл по необходимой ссылке и запускает его. Троянец – Java-апплет. Он запускается с помощью тега «APPLET» с зараженной HTLM-страницы. Зашифрованная ссылка на загружаемый файл передается апплету в параметре с именем «а». Функция «b» класса «b» осуществляет расшифровку ссылки, где используются соответствия для символов (входных и выходных).
Символы входные:
F#VD@YCR;LKU^ZBQ=&MGS!W%HP?TIK(,AN*J)O$X+E
Символы выходные:

abcdefghij-klmnopqrstuvwxyz/.-_:1234567890
К расшифрованной ссылке добавляется подстрока:
?i=1
Загруженный файл хранится в каталоге хранения временных файлов:
%Temp%\.exe
При случайное дробное десятичное число то 0 до 1.
Перед загрузкой идет проверка имени ОС на зараженной системе. Загрузка не выполняется, если ОС отличается от Windows. Код для эксплуатации уязвимости CVE-2010-0840 находится в классе «KAVS». При ненадлежащей проверке в использовании привилегированных методов JRE находится уязвимость, позволяющая злоумышленнику при помощи модифицированного объекта выполнить произвольный код.
Рекомендации по удалению:

В случае, если на вашем компьютере не был установлен антивирус и был заражен этой троянской программой, чтобы удалить ее, необходимо:
1.Обновить Sun Java JRE и JDK
2.Файл удалить:
%Temp%\.exe
3.Каталог Temporary Internet Files, где могут быть инфицированные файлы, очистить
4. Проверить компьютер с помощью Антивируса Касперского

Trojan.Win32.KillAV.hmn

Posted: 21st Август 2011 by admin in Анти-вирусы, Вирус, Защита, Угрозы, Черви
0

Выпуск обновления –  12.04.2011 11:46 ( МСК)Детектирование  -  08.04.2011  16:05 ( МСК)Публикация описания  -  12.08.2011  14:11 ( МСК) Технические детали:Разновидность троянской программы, разрушающая компьютер пользователя. Работает по схеме (ВАТ- файл) системного командного интерпретатора. Размер – 703 байт.Деструктивное действиеСначала троянец делает попытку остановить работу антивируса AVG.

В каталогах он находит:c:\Arquiv~1\AVGc:\Arquiv~1\AVG9c:\Arquiv~1\AVG10

файлы с именами avgupd.exe avgupd.dll avgupd.sig avgupdx.dll updatecomps.bak меняет их названия на:

avgxped.tcuavgaxed.tcuaveped.tcuavexpad.tcuavgteam.tcu

После чего троян запускает файлы:

С:\Windows\System32\config\Satifacos.pps

С:\Windows\System32\config\Satisfe.exe

Следует завершение работы вредоноса.Рекомендации по удалению вируса:В случае, если на вашем компьютере не был установлен антивирус и был заражен этой троянской программой, чтобы удалить ее, необходимо:

1.Найти  и удалить файл троянца

2.Восстановить начальные имена файлов, которые вредонос переименовал3.

Проверить компьютер с помощью Антивируса Касперского

Обновление – 04.06.2011

Posted: 8th Август 2011 by admin in Вирус, Угрозы
0

4 числа июня было зафиксирована низкая активность вирусов.

Были добавлены 100 новых модификации основных категории вирусов Win32/Adware, Java/TrojanDownloader,

Win32/TrojanDownloader, Win32/Injector, Win32/Kryptik, Win32/Exploit, Win32/Delf, Win32/Agent, Win32/Spy.

Все данные взяты  то корпорации Eset spol. s.r.o

Обновление – 03.06.2011

Posted: 8th Август 2011 by admin in Вирус, Угрозы
0

Обновление вирусной базы данных :

3 числа  июня было зафиксирована атака новых 200 вирусов.

Больше всего наблюдалось активность вирусов из классов Win32/Injector, Win32/Kryptik, Win32/AutoRun ,

Win32/TrojanDownloader.FakeAlert, Win32/TrojanDownloader, Win32/TrojanDropper, Win32/Spy, Win32/Delf.

Все эти вирусы имеет разнообразные модификации оригинальных кодов вирусов описанных выше.

Older Entries