01.06.2012, 20:57
W miarę świeże ale już wykrywają więc gadziny dla kolekcjonerów:
Email Worm Runouce
Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 10 KB i został stworzony przy pomocy języka programowania Assembler.
Zainfekowane wiadomości rozsyłane przez robaka wyglądają następująco:
Temat: Hi,i am %(Name of victim''s computer)%
Nazwa załącznika: p.exe
Treść wiadomości jest pusta.
Szkodnik aktywuje się automatycznie podczas przeglądania zainfekowanej wiadomości korzystając z luki w zabezpieczeniach programu Internet Explorer (IFRAME).
Instalacja
Robak kopiuje się do katalogu systemowego Windows z nazwą "Runouce.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run Runonce = %System%\Runouce.exe
gdzie %System% jest nazwą systemowego katalogu Windows.
W momencie aktywacji robak tworzy blokadę uniemożliwiającą jednoczesne uruchomienie kilku jego instancji.
Rozprzestrzenianie
Robak tworzy we wszystkich dostępnych katalogach (włącznie z zasobami sieciowymi) pliki .EML zawierające jego własną kopię. Nazwy kopii są identyczne z nazwą zainfekowanego komputera. Przykładowo jeżeli komputer został nazwany KOMPUTER, kopie robaka będą posiadały nazwy KOMPUTER.EML.
Robak szuka swoich potencjalnych "ofiar" w książce adresowej systemu Windows (WAB) oraz w plikach .ADC oraz .DB zapisanych na wszystkich dostępnych katalogach, z wyjątkiem folderu Windows. W celu wysyłania wiadomości pod odnalezione adresy robak wykorzystuje bezpośrednie połączenie z serwerem SMTP "btamail.net.cn".
Funkcje dodatkowe
Robak zmienia czas dostępu do plików .EXE oraz SCR zapisanych we wszystkich dostępnych katalogach, z wyjątkiem folderu Windows.
Robak kończy działanie niektórych aplikacji posiadających chińskie nazwy (prawdopodobnie chińskie programy antywirusowe).
Robak Viking
Rootkit Zero Access
Wszystko jest już wykrywalne, więc jeżeli ktoś chce sprawdzić narzędzia w usuwaniu takich infekcji to proszę bardzo Sensu brak podawanie wyniku czy dany soft wykyrwa.
Jutro wrzucę jakieś fake av bo mam kilka.
Email Worm Runouce
Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 10 KB i został stworzony przy pomocy języka programowania Assembler.
Zainfekowane wiadomości rozsyłane przez robaka wyglądają następująco:
Temat: Hi,i am %(Name of victim''s computer)%
Nazwa załącznika: p.exe
Treść wiadomości jest pusta.
Szkodnik aktywuje się automatycznie podczas przeglądania zainfekowanej wiadomości korzystając z luki w zabezpieczeniach programu Internet Explorer (IFRAME).
Instalacja
Robak kopiuje się do katalogu systemowego Windows z nazwą "Runouce.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run Runonce = %System%\Runouce.exe
gdzie %System% jest nazwą systemowego katalogu Windows.
W momencie aktywacji robak tworzy blokadę uniemożliwiającą jednoczesne uruchomienie kilku jego instancji.
Rozprzestrzenianie
Robak tworzy we wszystkich dostępnych katalogach (włącznie z zasobami sieciowymi) pliki .EML zawierające jego własną kopię. Nazwy kopii są identyczne z nazwą zainfekowanego komputera. Przykładowo jeżeli komputer został nazwany KOMPUTER, kopie robaka będą posiadały nazwy KOMPUTER.EML.
Robak szuka swoich potencjalnych "ofiar" w książce adresowej systemu Windows (WAB) oraz w plikach .ADC oraz .DB zapisanych na wszystkich dostępnych katalogach, z wyjątkiem folderu Windows. W celu wysyłania wiadomości pod odnalezione adresy robak wykorzystuje bezpośrednie połączenie z serwerem SMTP "btamail.net.cn".
Funkcje dodatkowe
Robak zmienia czas dostępu do plików .EXE oraz SCR zapisanych we wszystkich dostępnych katalogach, z wyjątkiem folderu Windows.
Robak kończy działanie niektórych aplikacji posiadających chińskie nazwy (prawdopodobnie chińskie programy antywirusowe).
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Treść widoczna jedynie dla zarejestrowanych użytkowników
Robak Viking
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Treść widoczna jedynie dla zarejestrowanych użytkowników
Rootkit Zero Access
[Aby zobaczyć linki, zarejestruj się tutaj]
Treść widoczna jedynie dla zarejestrowanych użytkowników
Wszystko jest już wykrywalne, więc jeżeli ktoś chce sprawdzić narzędzia w usuwaniu takich infekcji to proszę bardzo Sensu brak podawanie wyniku czy dany soft wykyrwa.
Jutro wrzucę jakieś fake av bo mam kilka.