Вернуться   Другой Форум - Антивирусы, Программы, Norton, Касперский, ESET, Windows > Безопасность системы > Обсуждение антивирусов и файерволов
Войти через профиль в соц. сети
Регистрация Справка Правила Пользователи Календарь Статистика Все разделы прочитаны
Обсуждение антивирусов и файерволов Обсуждения и сравнения антивирусных программ и файерволов, раздел допускает наличие флуда и свободного общения в рамках приличия

Ответ
Старый 02.09.2011, 12:04   #1
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


В данной теме предлагаю выкладывать названия известных и недавно появившихся вирусов(также троянов,червей,руткитов и т.п.).
Описания их вредоносных действий,способы проникновения в систему,а также способы их удаления и обезвреживания.
Всех постящих просьба соблюдать Правила раздела :Защита системы,а так же Правила форума.



Так же здесь можно обратиться за помощью в удалении вирусов из системы.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 25.09.2011, 22:37   #21
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Dropper:OSX/Revir.A

Компания F-Secure сообщает о вредоносной программе Trojan-Dropper:OSX/Revir.A, которая ведёт себя странно. После запуска на компьютере троян извлекает PDF-файл в папку /tmp и отображает документ на китайском языке. В это время скачивается бэкдор Backdoor:OSX/Imuler.A с адреса tarmu.narod.ru/[...].

Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом, ведь у него нет ни иконки PDF-документа, ни «двойного» расширения .pdf.exe, как у аналогичных вирусов под Windows. Возможно, в вирусную лабораторию F-Secure троян попал без сопутствующих компонентов.

Судя по всему, это просто экспериментальный образец от начинающих авторов.

P.S.дополнительные сведения будут добавлены по мере изучения способов лечения вируса.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.10.2011, 18:31   #22
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan-Downloader.Java.Agent.ly

Технические детали

Вредонос является компонентом троянской программы, загружающей файлы из сети Интернет без ведома пользователя. Является Java-классом (class-файл). Имеет размер 1619 байт.

Деструктивная активность

Вредонос является компонентом троянской программы из семейства "Trojan-Downloader.Java.OpenConnection", использующей уязвимость CVE-2010-0840 в Java Runtime Environment для загрузки из сети Интернет других вредоносных программ. Вредонос реализован в виде класса с именем "Template", и содержит функцию "name", используемую для расшифровки ссылок на загружаемые файлы. В ходе расшифровки используются следующие соответствия для входных и выходных символов: Входные символы:

QOn7cZAVmK/G4WuBqfLxj1_tlE8PTrpN2Y3:MUa=&5oRi%y?9DHv- Cgwkh60b.FdeSI#zJXs

Выходные символы:

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRS TUVWXYZ/.:_-?&=%#


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2.Обновить Sun Java JRE и JDK до последних версий.
3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 05.10.2011, 16:15   #23
Форумчанин
 
Аватар для den260384

 
Регистрация: 05.11.2009
Сообщений: 276

den260384 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Привет всем! Думаю, что правильно обращаюсь о проблеме в этой теме, если нет, подправьте. Ситуация заключается в том, что имеется комп в одной из организаций. Во всех случаях, когда в него вставляешь флешку, последняя поддается заражению. Заражение проявляется в том, что вирус не то чтобы удаляет именно папки (подчеркиваю, именно папки, не файлы), а лишает их всяких атрибутов и они становятся невидимыми на флешке. В свою очередь вместо этих папок создаются их ярлыки. При этом всем как исчезнувшие папки, так и их вновь созданные ярлыки можно посмотреть лишь с помощью файловых менеджеров, в частности "тотал командер" или "Wincom". Проблема решается проверкой флешки антивирусом, который находить троян (название не записал, выложу позже), однако после удаления вируса положение с папками не меняется и лишь только после изменения атрибутов папок в "Wincom", они восстанавливаются, ну и естественно вручную удалял их ярлыки. Более того, после проведения подобного рода манипуляций при очередном заражении указанные папки исчезают совсем (примерно после 3-го, 4-го заражения флешки). Пробовал вакцинировать флешку утилитой от Панда - не помогло. Так понял, что данная утилита работает лишь с автораном. Очень интересное поведение. Обязательно выложу название зловреда при очередном заражении. Думаю данная информация будет полезна на форуме, ну а комментарии будут полезны как мне, так и другим. Заранее спасибо за отзывы.
  Ответить с цитированием
5 пользователя(ей) сказали cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 05.10.2011, 17:42   #24
Nahrenolog
 
Аватар для tikox

 
Регистрация: 31.01.2011
Адрес: Zaporizhzhya
Возраст: 46
Сообщений: 381

tikox вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Если не получается изменить атрибуты через Total Commander (может быть и такое, в зависимости от версии Total или самого вируса...) попробуй запустить батник [Ссылки могут видеть только зарегистрированные пользователи. ] , он должен снять все атрибуты с файлов и папок, запускать на флешке, ну и дальше антивири, сканеры...
__________________
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 11.10.2011, 19:06   #25
Форумчанин
 
Аватар для den260384

 
Регистрация: 05.11.2009
Сообщений: 276

den260384 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Привет всем! Сново возвращаюсь к проблеме, изложенной мной в посте № 25. Как я указывал ранее, не смог предоставить ранее на обозрение те зловреды за счет которых изменялись атрибуты папок на флешке. Сейчас сново мне в руки попала флешка, которая побывала в злосчастном компьютере. Вот, что нашел Comodo:
Malware@#2od4lydcy29gx G:\RECYCLER.exe
Malware@#2od4lydcy29gx G:\СОЮЗ.exe
Malware@#2od4lydcy29gx G:\Секси герл.exe
Malware@#2od4lydcy29gx G:\ЕЗЕТ.exe
Suspicious@#sc7gxiw1laud G:\Новая папка.exe
Malware@#2od4lydcy29gx G:\Дела Комп.exe
Malware@#2od4lydcy29gx G:\Белая ночь, Горан Брегович.exe
Malware@#2od4lydcy29gx G:\Протокола осмотра-отчет.exe
Malware@#2od4lydcy29gx G:\Бушуев.exe
Malware@#2od4lydcy29gx G:\АвиаНалет II.exe
Вопрос в следующем - как же защитить флешку от подобного рода изменений в ней?
  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 14.10.2011, 22:26   #26
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan.MBRlock

В своих новостях и обзорах компания «Доктор Веб» уже упоминала о троянских программах семейства MBRLock: первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в мае 2011 года, а в сентябре появились модификации, ориентированные на западных пользователей. Напомним, что подобные троянцы блокируют не вход в операционную систему, как вредоносные программы семейства Trojan.Winlock, а сам ее запуск. Код записывается в главную загрузочную запись (MBR), при обращении к жесткому диску в процессе запуска компьютера он загружает с соседних секторов основное тело Trojan.MBRlock, после чего на экране демонстрируются требования злоумышленников. Большинство известных на сегодняшний день троянцев семейства Trojan.MBRlock хранили необходимый для разблокировки компьютера пароль в собственном коде, в связи с чем его было просто извлечь. Несколько иначе действует Trojan.MBRlock.16.

Эта программа-вымогатель выдает себя за «полезную» утилиту Antivirus XP Hard Disk Repair, якобы предназначенную для удаления вирусов с жесткого диска компьютера. После запуска Trojan.MBRlock.16 инфицирует MBR и выводит на экран сообщение о том, что система якобы инфицирована вредоносной программой Trojan.Agent.ARVP, зашифровавшей всю информацию на жестких дисках (при этом фактически никакого шифрования не производится). Для спасения пользовательских данных злоумышленники предлагают жертве «купить лицензию» утилиты Antivirus XP Hard Disk Repair, для чего следует отправить сгенерированный программой ключ с помощью формы, размещенной на принадлежащем мошенникам сайте, и осуществить оплату. Сам уникальный ключ (HDDKEY) и пароль для разблокировки компьютера Trojan.MBRlock.16 генерирует на основе информации об аппаратной конфигурации ПК.

С целью помочь пользователям, пострадавшим от данной программы-вымогателя, специалисты компании «Доктор Веб» разработали специальный генератор паролей для разблокировки компьютера, который можно загрузить по ссылке ftp://ftp.drweb.com/pub/drweb/tools/mbrlock16keygen.exe либо воспользоваться сервисом разблокировки.

Сигнатура Trojan.MBRlock.16 добавлена в базы Dr.Web, кроме того, избавиться от последствий заражения этим троянцем можно с помощью бесплатных средств аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB.
__________________

  Ответить с цитированием
Re: Вирусы,их описания и способы борьбы с ними.
Старый 22.11.2011, 10:17   #27
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 288

al12800 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Win32.HLLM.MailSpamer

Как известно, сайт «Ответы@Mail.Ru» позволяет разместить любой вопрос, ответ на который дают другие пользователи ресурса. Копии всех полученных ответов отправляются автору вопроса по электронной почте. Вероятно, именно эту особенность сервиса и учли вирусописатели: троянец Win32.HLLM.MailSpamer распространяется по e-mail с помощью содержащих вредоносную ссылку писем, имеющих тему «Re: С проекта Ответы@Mail.Ru».

Каждое такое письмо содержит один из вариантов сообщений, таких как «я почему-то сразу нагуглил» или «а самому было лень поискать?», и ссылку на сайт файлообменной службы, ведущую на страничку загрузки RAR-архива. Этот архив содержит исполняемый файл setup.exe и документ Readme.doc. При запуске приложения setup.exe на экране отображается стандартное окно программы-инсталлятора. Данная программа открывает на чтение файл Readme.doc, где в зашифрованном виде хранится троянец Win32.HLLM.MailSpamer.

После расшифровки вредоносная программа сохраняется на диск в виде динамической библиотеки, которая, в свою очередь, извлекает из своего тела исполняемый файл и запускает его. Затем троянец вносит ряд изменений в системный реестр, прописав собственный исполняемый файл в отвечающую за автозапуск ветвь, а также отключает в групповых и локальных политиках User Accounts Control.

Запустившись на выполнение, Win32.HLLM.MailSpamer определяет тип и версию операционной системы, значение серийного номера жесткого диска и IP-адрес инфицированной машины, после чего отправляет соответствующий отчет на удаленный командный сервер злоумышленников. Оттуда троянец получает конфигурационный файл, в котором указан объект для последующей загрузки. Таким объектом, в частности, является программа alqon.exe, которая скачивается с удаленного узла и запускается на выполнение. Это вредоносное ПО устанавливает соединение с командным сервером и получает от него конфигурационный файл, содержащий логин и пароль для доступа к почтовому серверу, а также текст рассылаемого по почте сообщения и ссылку на вредоносный файл. Соединившись с сервером smtp.mail.ru, Win32.HLLM.MailSpamer осуществляет рассылку почтовых сообщений с использованием указанных в конфигурационном файле параметров. Кроме того, в троянце имеется функционал, позволяющий рассылать почтовые сообщения посредством веб-интерфейса.

Сигнатура данной угрозы уже добавлена в вирусные базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять осторожность и не запускать на компьютере подозрительные приложения, ссылки на которые получены в подобных сообщениях электронной почты.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 3 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Миниатюры
Нажмите на изображение для увеличения
Название: allmail.jpg
Просмотров: 1
Размер:	27.6 Кб
ID:	6133  
__________________
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 22.11.2011, 10:21   #28
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 288

al12800 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

BackDoor.Butirat

Вредоносные программы семейства BackDoor.Butirat известны еще с 2010 года. На сегодняшний день в вирусных базах Dr.Web насчитывается более 30 различных версий этого троянца. Интересно, что данный бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему часто загружается с различных сайтов, распространяющих вредоносное ПО. Можно предположить, что широкое распространение этой вредоносной программы связано с относительной легкостью ее модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии BackDoor.Butirat, что порой затрудняет их детектирование.

Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троянец отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.

Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.

Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat, заключается в том, что они способны загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В частности, в последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.

Кроме того, отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается троянцу с удаленного командного центра.

Антивирусная лаборатория компании «Доктор Веб» регулярно регистрирует появление новых модификаций BackDoor.Butirat, и все они оперативно добавляются в вирусные базы Dr.Web. Пользователи антивирусных продуктов, разработанных компанией «Доктор Веб» полностью защищены от данного типа угроз.
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 3 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
__________________
  Ответить с цитированием
Пользователь сказал cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 23.11.2011, 06:21   #29
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 288

al12800 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

Trojan.WinLock, Trojan.SmsSend и Trojan.VKHost.

Как правило, в партнерских программах, действующих под громкой вывеской «систем покупки и продажи трафика», принимают участие с одной стороны желающие заработать владельцы различных интернет-ресурсов и с другой — промышляющие фишингом либо распространением вредоносного ПО сетевые мошенники. Действует этот механизм следующим образом. Владелец веб-сайта (зачастую это ресурсы категории «для взрослых», всевозможные сборники «кряков», нелицензионного программного обеспечения, рефератов и прочего «вареза») регистрируется на сайте партнерской программы и добавляет на страницы своего проекта специальный код, демонстрирующий пользователям при каждом их обращении к сайту специальное всплывающее окно. Содержащееся в окне изображение обычно имитирует какой-либо элемент интерфейса ОС Microsoft Windows (например, сообщение встроенной системы безопасности или брандмауэра), окно программы обмена сообщениями (QIP, ICQ, Skype, MSN Messenger) или антивирусного ПО. Нередко подобные «предупреждения» содержат информацию о том, что компьютер пользователя якобы инфицирован вирусами, для уничтожения которых нужно нажать на соответствующую кнопку. По щелчку мыши на таком баннере пользователь автоматически перенаправляется на другой сайт, где ему могут предложить заполнить какую-либо форму, оставив свои регистрационные данные, подписаться на платные услуги или попросту загрузить вредоносное ПО. Как правило, попытка закрыть всплывающее окно не дает ожидаемого результата или даже приводит к открытию еще нескольких дополнительных окон. Описанным способом могут распространяться троянцы семейств Trojan.WinLock, Trojan.SmsSend и Trojan.VKHost.

«Оплачивают музыку» в данном случае владельцы рекламируемых интернет-ресурсов. В выигрыше от реализации такой схемы остаются все участники процесса: владельцы размещающих недобросовестную рекламу веб-сайтов получают деньги за каждого перешедшего по ссылке пользователя, создатели рекламируемых ресурсов — за счет отправленных обманутыми жертвами СМС, реализации платных подписок или загрузки на компьютеры пользователей программ-вымогателей и других троянцев. Посредники же получают свой процент от проведенных платежей.

Адреса размещающих подобную рекламу ресурсов, а также URL страниц партнерских программ оперативно заносятся в базы Dr.Web в качестве не рекомендуемых для посещения. Компания «Доктор Веб» призывает своих пользователей проявлять бдительность и по возможности игнорировать подозрительные окна, появляющиеся на экране при посещении некоторых сайтов.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 3 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Изображения
  
__________________
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Re: Вирусы,их описания и способы борьбы с ними.
Старый 01.12.2011, 14:54   #30
Форумчанин
 
Аватар для al12800

 
Регистрация: 03.02.2011
Адрес: Пасека
Сообщений: 4 288

al12800 вне форума
По умолчанию Re: Вирусы,их описания и способы борьбы с ними.

BackDoor.Flashback.8

Добавлен в вирусную базу Dr.Web: 2011-11-23

BackDoor.Flashback — многокомпонентный бэкдор для MacOS X Lion. Маскируется под инсталлятор проигрывателя Adobe Flash Player. Распространяется в виде архива FlashPlayer-11-macos.pkg. Основной компонент Preferences.dylib устанавливается в папку /Library/Preferences/.

Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

* /Library/Little Snitch/lsd
* /Applications/VirusBarrier X6.app/Contents/MacOS/VirusBarrier X6
* /Applications/iAntiVirus/iAntiVirus.app/Contents/MacOS/iAntiVirus
* /Applications/avast!.app/Contents/MacOS/avast!
* /Applications/ClamXav.app/Contents/MacOS/ClamXav
* /Applications/HTTPScoop.app/Contents/MacOS/HTTPScoop
* /Applications/Packet Peeper.app/Contents/MacOS/Packet Peeper.app

Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих из удаленного командного центра или содержащихся в конфигурационном файле (например, такой команды, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell. Может принимать команды с сайта mobile.twitter.com.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 3 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
Миниатюры
Нажмите на изображение для увеличения
Название: mac_os_x_lion_350.jpg
Просмотров: 0
Размер:	16.1 Кб
ID:	6545  
__________________
  Ответить с цитированием
3 пользователя(ей) сказали cпасибо:
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Онлайн проверка на вирусы. Обзор сервисов stalk Обсуждение антивирусов и файерволов 40 10.09.2016 08:02
Авиакомпании России, туроператоры и проблемы связанные с ними крот1 Окружающая реальность 0 23.08.2014 00:18


Часовой пояс GMT +3, время: 17:15.




Яндекс.Метрика