1. Comodo Personal Firewall 3.0.25.378
Персональный файрволл, который следит и предотвращает различного рода сетевые атаки, защищает от действий шпионов, троянов и др.

2. Jetico Personal Firewall 2.0.2.7.2309
Защитит Ваш компьютер от различных интернтет угроз, хакерских атак, вирусов-троянов и других вредоносных приложений.

3. PC Tools Firewall Plus 5.0.0.25 Beta
Бесплатная программа для защиты компьютера от интернет-нападений троянов, backdoor-ов, кейлоггеров и другого опасного ПО

4. AS3 Personal Firewall 2.0
Предназначен для предотвращения доступа посторонних к вашей сети.

Kaspersky CRYSTAL — это не просто антивирусное решение. Помимо защиты вашего компьютера от интернет-угроз, Kaspersky CRYSTAL обеспечивает недоступный ранее уровень защиты для всей информации, которую вы создаете и храните в цифровом виде. С Kaspersky CRYSTAL ваш компьютер и ваши данные ограждены от цифрового загрязнения и других опасностей виртуального мира.

Kaspersky Internet Security 2010 Kaspersky Internet Security 2010 – это оптимальное решение для защиты компьютера. Продукт содержит все необходимое для безопасной работы в интернете – от признанных во всем мире антивирусных технологий до самых передовых разработок в сфере информационной безопасности.

 

Новости

США боится потерять контроль над перепиской пользователей icq
Правоохранительные ведомства США..
29.05.2017
Хакеры взломали российское спутниковое телевидение
Информационная система крупнейшего оператора..
29.05.2017
Провайдер продал абонентам уязвимую программу
Французский интернет-провайдер Orange..
29.05.2017
Чемпионат мира по футболу 2010 – приманка хакеров
Хакеры используют Чемпионат мира по футболу..
29.05.2017

1.W32/Zafi.D-mm55%
2.W32/Bagle.AY-mm11%
3.W32/Netsky.Q-mm9%
4.W32/Netsky.B-mm7%
5.W32/MyDoom.M-mm4%
6.W32/MyDoom.L-mm3%
7.W32/Bagle.AT-mm2%
8.W32/Netsky.AA-mm1%
9.W32/Plexus.A-mm1%
10.W32/Maslan-mm1%

> Ваша защита > Анализ троянов

 

Услуги
Анализ вирус-червей
Анализ вредосных программ-эксплоитов
Анализ других вирусов
Анализ SQL-инъекций
Анализ троянов
Анализ уязвимостей
Правила безопастности
Фаерволы
История вирусов
Классификация вирусов
Компьютерные вирусы
Лицензионные антивирусы
Признак вируса
Создатели вирусов
Как сравнивать антивирусы
Вредоносные программы
Новости
 

Анализ троянов

Backdoor.Win32. Delf.duc
Backdoor.Win32. H3.a
Backdoor.Win32. Small.x
Kaju BackDoor
Анализ Украины
Spy-Net 0.9 (Trojan.Win32.Agent.amgi)
Trojan-Clicker.Win32. VB.sw
Trojan.BAT. AnitV.b
Trojan.BAT. DelAV
Trojan.BAT. DelAll.b
Trojan.BAT. DelSys.am
Trojan.BAT. DelSys.ba
Trojan.BAT. DelSys.f
Trojan.BAT. DelSys.g
Trojan.BAT. Delwin.ah
Trojan.BAT. FormatAll.i
Trojan.BAT. FormatC.p
Trojan.BAT. KillWin.ad
Trojan-Clicker.BAT. Small.c
Trojan-Clicker.HTML. IFrame.bk
Trojan-Clicker.Win32. Small.eb
Trojan-Clicker.Win32. Tiny.b
Trojan-Clicker. Win32.VB.sc
Trojan-Downloader.JS. Agent.bxr
Trojan-Downloader.JS. Agent.sg
Trojan-Downloader.JS. Agent.sv
Trojan-Downloader.JS. Psyme.akc
Trojan-Downloader.JS. Psyme.ali
Trojan-Downloader.JS. Small.fi
Trojan-Downloader.VBS. Psyme.ju
Trojan-Downloader.VBS. Agent.ah
Trojan-Downloader.VBS. Agent.au
Trojan-Downloader.VBS. Agent.ch
Trojan-Downloader.VBS. Agent.et
Trojan-Downloader. VBS.Agent.fe
Trojan-Downloader.VBS. Agent.fj
Trojan-Downloader.VBS. Agent.ft
Trojan-Downloader.VBS. Agent.hp
Trojan-Downloader.VBS. Psyme.bn
Trojan-Downloader.VBS. Psyme.ef
Trojan-Downloader.VBS. Psyme.ik
Trojan-Downloader.VBS. Psyme.ir
Trojan-Downloader.VBS. Small.al
Trojan-Downloader.VBS. Small.ev
Trojan-Downloader. VBS.Small.fp
Trojan-Downloader_Win32_ Agent.nmi
Trojan-Downloader.Win32. Agent.fpp
Trojan-Downloader.Win32 .Agent.qlh
Trojan-Downloader.Win32. AutoIt.fn
Trojan-Downloader.Win32. Bagle.cw
Trojan-Downloader.Win32. Banload.dcd
Trojan-Downloader.Win32. Braidupdate.c
Trojan-Downloader. Win32.Delf.cfo
Trojan-Downloader.Win32. Delf.cgx
Trojan-Downloader.Win32. Diehard.di
Trojan-Downloader.Win32. Nurech.bz
Trojan-Downloader.Win32. Small.bah
Trojan-Downloader. Win32.Small.fas
Trojan-Downloader. Win32.Small.fzu
Trojan-Downloader.Win32. Small.tot.tot
Trojan-Downloader.Win32. Tiny.abt
Trojan-Downloader.Win32. VB.bnp
Trojan-Dropper.Win32. Small.jh
Trojan-Dropper. Win32.Agent.bot
Trojan-Dropper.Win32. Pincher.g
Trojan-Dropper.Win32. Small.amj
Trojan-Dropper.Win32. Small.bbs
Trojan-Dropper.Win32. Small.bdx
Trojan-Dropper.Win32. Small.dr
Trojan-Dropper.Win32. Small.wb
Trojan-Notifier.Win32. VB.m
Trojan-PSW.Win32. OnLineGames.sxa
Trojan-PSW.Win32. WOW.agq
Trojan-Spy.Win32. KeyLogger.qc
Trojan-Spy.Win32. Montp.p
Trojan.Win32. Agent.bve
Trojan.Win32. ConnectionServices.e
Trojan.Win32. Delf.abx
Trojan.Win32. KillFiles.ac
Trojan.Win32. Killav.r
Trojan. Win32.Qhost.ml
Trojan.Win32. Raiden.a
Trojan.Win32. Small.hf
Trojan.Win32. StartPage.dz
Trojan.BAT. Toon
Trojan.BAT. AnitV.a
Trojan.BAT. DelSys.d
Trojan.BAT. Deltree.s
Trojan.BAT. FormatC.z
Trojan.BAT. KillFiles.db
Trojan.BAT. KillWin.ah
Trojan Conective
Trojan.JS. KillMBR.b
Trojan.Mdropper.Z
Trojan.SymbOS. Singlejump.e
Trojan.VBS. Terra
Trojan.VBS. Small.y
Trojan.Win32. Deser
Trojan.Win32. Deltree.a
Trojan.Win32. DelWin.a
Trojan.Win32. Killav.bx
Trojan.Win32. Small.dl
Trojan.Win32. StartPage.au
Trojan-Clicker.Win32. VB.l
Trojan-Clicker.Win32. VB.sk
Trojan-Downloader.JS. Agent.mp
Trojan-Downloader.VBS. Agent.cm
Trojan-Downloader.VBS. Psyme.ci
Trojan-Downloader.VBS. Psyme.cr
Trojan-Downloader. VBS.Psyme.hx
Trojan-Downloader.VBS. Small.ca
Trojan-Downloader.VBS. Small.fa
Trojan-Downloader.Win32. Bagle.cu
Trojan-Downloader.Win32. Small.eqn
Trojan-Downloader.Win32. Small.fxa
Trojan-Downloader.Win32. VB.aka
Trojan-Dropper.JS. Bomgen.e
Trojan-Dropper.JS. Small.f
Trojan-Dropper.VBS. Bomgen.aa
Trojan-Dropper.VBS. Bomgen.r
Trojan-Dropper.Win32. Small.x
Trojan-Dropper.Win32.VB.oj
Trojan-Dropper.Win32.VB.om
Trojan-Dropper.Win32. VB.or
Trojan-Dropper.Win32. VB.os
Trojan-Dropper.Win32. VB.ov
Trojan-Dropper.Win32. VB.qq
Trojan-PSW.Win32. Kuang.a
Trojan-PSW.Win32. LdPinch.bex
Trojan-PSW.Win32. Lmir.a
Trojan-PSW.Win32. Nilage.a
Trojan-PSW.Win32. OnLineGames.a
Trojan-PSW.Win32. OnLineGames.afd
Trojan-PSW.Win32. WOW.a
Trojan-Spy.Win32. Goldun.pu
Trojan-Spy.Win32. KeyLogger.ba
Trojan-Spy.Win32. VB.f
Trojan-Spy.Win32. VB.i
Trojan-Spy.Win32. VB.m
Trojan-Spy.Win32. VB.oq
Troya Tools 1.2
WPS 1.5 Final




Trojan-PSW.Win32. LdPinch.bex

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на Ассемблере. Размер зараженных файлов существенно варьируется; все экземпляры данной модификации троянца имеют одинаковый функционал.

Инсталляция

После запуска троянец добавляет следующую запись в системный реестр:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца
без расширения>"

Деструктивная активность

Троянец представляет собой шпионскую программу, ворующую пароли и учетные записи пользователя из следующих программ:

1. Клиентов систем мгновенного обмена сообщениями:

* Miranda IM

Троянская программа считывает путь к установленой Miranda IM из раздела реестра:

[HKLM\Software\Miranda]
            Install_Dir

Ищет в нем файлы с расширением DAT и похищает их содержимое.

* Mirabilis ICQ

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:

[HKCU\Software\Mirabilis\ICQ\NewOwners]
            [HKLM\Software\Mirabilis\ICQ\NewOwners]

* Trillian

Троянец получает путь к папке с установленным Trillian из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]

Читает содержимое файла «users\global\profiles.ini», извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла «aim.ini».

* QIP

Троянец получает путь к программе QIP из указанных ниже ключей реестра и ищет в его папке в подпапке «Users» все имеющиеся папки:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Q2005]
            [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QIP2005]
            [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
            "qip.exe"

После чего читает из файлов «Config.ini», расположенных в этих папках, следующие значения:

Password
            NPass

* Mail.Ru Agent

Получает значения всех подключей ключа реестра:

[HKCU\Software\Mail.Ru\Agent\mra_logins]

2. Почтовых клиентов:

* The Bat

Для этого ищет в папках:

%UserProfile%\Application Data\BatMail
            %UserProfile%\Application Data\The Bat!

или ключах реестра:

[HKCU\Software\RIT\The Bat!]
            Working Directory
            ProgramDir

следующие файлы:

account.cfg
            account.cfn

Из них похищает учетные записи и пароли к ним.

* Outlook

По данным из ключа:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\
Windows Messaging Subsystem\Profiles\Outlook]

3. FTP-служб:

* CuteFTP

Из файлов:

sm.dat
            tree.dat
            smdata.dat

* SmartFTP

Из файлов:

%UserProfile%\Application Data\SmartFTP\Client 2.0\Favorites\ 
Favorites.dat %UserProfile%\Application Data\SmartFTP\Favorites.dat %UserProfile%\Application Data\SmartFTP\History.dat

похищает следующие значения:

HostName
            Port
            Username
            Password
            ItemName

4. FTP-соединений файловых менеджеров:

* Total Commander

* Windows Commander

Вирус получает путь к ним из следующих ключей реестра:

[HKCU\Software\Ghisler\Windows Commander]
            [HKCU\Software\Ghisler\Total Commander]
            [HKLM\Software\Ghisler\Windows Commander]
            [HKLM\Software\Ghisler\Total Commander]
            [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total Commander]
            UninstallString
            [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Total 
Commander XP] UninstallString [HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache] Totalcmd.exe

Также ищет файл «<папка с установленным Windows Commander>\Profiles\Prof\ftp.ini». В нем троянец ищет следующие параметры и получает их значения:

host
            username
            password
            directory
            method В

Получает путь к WS_FTP из «%WinDir%\win.ini», после чего считвает содержимое файла «wc_ftp.ini». 5. Интернет-браузеров:

* Opera

Из файлов:

%UserProfile%\Application Data\Opera\profile\wand.dat
            %UserProfile%\Application Data\Opera\Mail\accounts.ini

* Mozilla Firefox

Из файла:

%UserProfile%\Application Data\Mozilla\profiles 

* Thunderbird

Из файла «%UserProfile%\Application Data\ThunderBird\profiles.ini» извлекает пути к профилям, по которым далее ищет файлы «signons.txt» и «prefs.js» и получает их содержимое.

* FileZilla

Получая путь к папке с установленным FileZilla из нижеприведенного ключа реестра, похищает содержимое файлов «FileZilla.xml» и «sitemanager.xml»:

[HKCU\Software\FileZilla]
             Install_Dir

Троянец читает из файла «%UserProfile%\Application Data\Qualcomm\Eudora\Eudora.ini» следующие параметры:

RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Вредоносная программа получает значения следующих параметров из файла «%WinDir%\edialer.ini»:

LoginSaved
PasswordSaved

Похищает содержимое файла «%UserProfile%\Application Data\.gaim\accounts.xml».

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла «Sites.dat».

Троянец читает содержимое файлов:

%WinDir%\VD3User.dat
%WinDir%\Vd3main.dat

Данные из ключа:

[HKCU\Software\CoffeeCup Software\Internet\Profiles]
Троянская программа читает значение параметра в ключе реестра:
[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
USDownloader.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Троянец читает значение параметра в ключе реестра:

[HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam]
rapget.exe

И использует его для поиска нижеприведенных файлов, содержимое которых похищает:

rapget.ini
links.dat

Троянец ищет в папке «%UserProfile%\Мои документы» файлы с расширением «.rdp» и похищает их содержимое.

Также троянец ищет в параметрах ключа реестра:

[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]

параметр с именами RQ.exe и RAT.exe. И если находит, получает его значение и использует для поиска файла «andrq.ini».

Если не находит, то получает значение ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString

И также использует его для поиска «andrq.ini».

Троянская программа получает путь к папке из следующего ключа реестра:

 
[HKCU\Software\RimArts\B2\Settings]

Ищет в ней файл «Mailbox.ini», в котором ищет следующие параметры и получает их значения:

UserID
MailAddress
MailServer
PassWd

Получает путь к папке с установленным Punto Switcher из приведенного ниже ключа реестра и читает содержимое файла «diary.dat»:

[HKCU\Software\Punto Switcher]

С целью защиты от сетевых экранов и антивирусов троянец ищет окна сообщений со следующими заголовками :

Create rule for <имя троянской программы>
Kaspersky Anti-Hacker - Create a rule for <имя троянской программы>
Kaspersky Anti-Hacker - Создать правило для <имя троянской программы>
Создать правило для <имя троянской программы>
Warning: Components Have Changed
Внимание: некоторые компоненты изменились
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Путем нажатия на соответствующие кнопки разрешает шпиону запрашиваемое действие.

Для этого троянец ищет в системе окна с именами классов:

AVP.AlertDialog
AVP.AhAppChangedDialog
AVP.AhLearnDialog

И имитирует в них нажатия на кнопки:

«Разрешить»
Allow
Skip
«Создать правило»
Apply to all
Remember this action.

Также закрывает окна с именем класса AVP.Product_Notification.

Собранную информацию в виде отчетов вирус отправляет по HTTP с помощью ссылки:

www.****access.ru/gate/gate.php

Оттуда данные пересылаются на почтовый адрес злоумышленника:

mail@***.info








 

Анализ SQL-инъекций

SQL-инъекция в sHibby sHop
Программа: sHibby sHop 2.2, возможно более ранние версииОпасность: СредняяНаличие эксплоита: НетОписание:Уязвимость..
29.05.2017
SQL-инъекция в plx Ad Trader
Программа: plx Ad Trader 3.2, возможно более ранние версииОпасность: СредняяНаличие эксплоита: ДаОписание:Уязвимость..
29.05.2017
SQL-инъекция в myBloggie
Программа: myBloggie 2.1.6, возможно более ранние версииОпасность: СредняяНаличие эксплоита: НетОписание:Уязвимость..
29.05.2017
SQL-инъекция в eTicket
Программа: eTicket 1.5.7, возможно более ранние версииОпасность: СредняяНаличие эксплоита: НетОписание:Уязвимость..
29.05.2017
SQL-инъекция в eSHOP100
Программа: eSHOP100Опасность: СредняяНаличие эксплоита: ДаОписание:Уязвимость позволяет удаленному пользователю..
29.05.2017
SQL-инъекция в XchangeBoard
Программа: XchangeBoard 1.75 Beta b более ранние версииОпасность: СредняяНаличие эксплоита: ДаОписание:Уязвимость..
29.05.2017
SQL-инъекция в Viral DX 1
Программа: Viral DX 1 2.07, возможно более ранние версииОпасность: СредняяНаличие эксплоита: ДаОписание:Уязвимость..
29.05.2017
SQL-инъекция в Tips Website
Программа: Tips Website 1.2.0, возможно более ранние версииОпасность: СредняяНаличие эксплоита: НетОписание:Уязвимость..
29.05.2017
SQL-инъекция в Softbiz Jokes and Funny Pictures Script
Программа: Softbiz Jokes and Funny Pictures ScriptОпасность: СредняяНаличие эксплоита: ДаОписание:Уязвимость позволяет..
29.05.2017

 

Фаерволы

Comodo Firewall Pro 3.0
Разработчик ComodoПоявилась новая тестовая сборка следующей версии бесплатного персонального брандмауэра Comodo..
29.05.2017
ZoneAlarm Free 7.1
ZoneAlarm Free - бесплатный фаервол, который защищает компьютер как от нападения извне, так и от попыток какого-либо..
29.05.2017
PC Tools Firewall Plus Free Edition 3.0
PC Tools Firewall Plus Free Edition - бесплатный, простой в использовании, но эффективный персональный брандмауэр для..
29.05.2017
Online Armor Free 2
Бесплатный персональны фаервол для защиты от сетевых угроз и хакерских атакРазработчик: Tall EmuOnline Armor Free..
29.05.2017

 

Компьютерные вирусы

Вирусная программа - червь
(Worm - virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и..
Стелс вирусы
(Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах. Так называемая Стелс-технология может включать в себя: затруднение обнаруженья вируса в оперативной памяти, затруднение..
Скрипт - вирусы
(Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script, Jscript. На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут..
Полиморфные вирусы
(Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является..
MtE вирусы
(MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки / расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса...

 

Классификация вирусов

Троянские кони
"Trojan." - общее название для различных Троянских коней (Троянцев) :"PWS." - Троянский конь, который ворует пароли. Как правило, префикс такой вирусной программы дополняется словом "Trojan." - "Trojan.PWS.""Backdoor." - вирусная троянская программа, которая содержит в себе RAT-функцию..
Silly-вирусы
Вирусы, которые не обладают никакими особенными характеристиками (такими как текстовые строки, специальные эффекты и т.д.) вследствие чего нет возможности присвоить таким вирусам особенные названия."SillyC." - не резидентные в памяти компьютерные вирусы, объектами поражения которых..
Другие
"IRC." - вирусные программы-черви, которые распространяются, используя среду Internet Relayed Chat..
Вирусы поражающие различные операционные системы
"Win." - поражает 16 битовые исполняемые программы (NE) в операционной системе Windows NE - NewExe - формат исполняемых файлов операционной системы Windows 3.xx . Некоторые из этих компьютерных вирусов могут работать не только в среде Windows'3.xx но также и в Win'95/98/NT."Win95." -..
Макро-вирусы для MS Office
Эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office (Word Basic для MS Word 6.0-7.0; VBA3 для MS Excel 5.0-7.0; VBA5 для MS Office'97; VBA6 для MS Office'2000):"WM." - инфицированию подвергаются документы и шаблоны MS Word 6.0-7.0;"XM." -..


Добавить комментарий!