Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.
Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++.
Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге:
имя зараженного диска:/Recycler
Также в корне диска создается файл
имя зараженного диска:/autorun.inf
обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».
После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe«, тело вредоноса копируется в файл:
после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах:
После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:
Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме».
При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:
SCRIPT Language=VBScript!—DropFileName = «svchost.exe» WriteData = «4D5A… (тело вредоноса)» Set FSO = CreateObject(«Scripting.FileSystemObject») DropPath = FSO.GetSpecialFolder(2) & «/» & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng(«&H» & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject(«WScript.Shell») WSHshell.Run DropPath, 0 //—/SCRIPT
Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:
Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp».
По полученной от злоумышленника команде вредонос может выполнять следующие действия:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%Program Files%MicrosoftDesktopLayer.exe %Temp%/svchost.exe имя зараженного диска:/Recycler имя зараженного диска:/autorun.inf
Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.
Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.
Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.
17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.
Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.
11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.
Вредонос получает права администратора, деактивировать которые невозможно.
11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.
Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.
03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.
Windows не предоставляет графический интерфейс для просмотра полного списка.
03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.
Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.
Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.
24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.
Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.
Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.
24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.
В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».
Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.
18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру
На данный момент только компания AT&T прекратила использование супер cookie-файлов.
По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.
18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.
ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.
Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.
Virus.Nimnul.Win32.2 – вирус, заражающий exe, dll и Html файлы, а также открывающий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (EXE файл). размер
Методы распространения
Техническое описание
После запуска вирус создает папку microsof, которая может располагаться в одной из следующих папок
Для автозапуска, при каждом старте системы, вирус добавляет ключ реестра:
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\] Userinit=»c:\programfiles\microsoft\watermark.exe» (Путь к телу вируса и имя вируса могут принимать разные значения)
В одной из папок создается конфигурационный файл вируса, под именем dmlconf.dat
Например: C:\WINDOWS\system32\dmlconf.dat
После запуска вирус запускает браузер, и внедряется в его адресное пространство. Также вирус внедряется в память других системных процессов, таких как lsass.exe, svchost.exe и т.д.
Наличие зараженных процессов в системе позволяет вирусу инфицировать exe и html файлы, а также противодействовать попыткам удалить его файлы из системы, или изменить записи в реестре.
Для контроля своего процесса вирус создает уникальный идентификатор Mutex с именем “__PDH_PLA_MUTEX__”.
Деструктивные возможности
После запуска вирус проверяет наличие сети Internet, обращаясь к серверу google.com, после чего создает соединение с сервером злоумышленников для получения команд управления.
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.
В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:
Основные события месяца
Первый месяц лета прошел относительно спокойно: никаких значимых инцидентов, к счастью, не произошло. Киберкриминальный фон месяца можно назвать «классическим». В развивающихся странах злоумышленники использовали неграмотность пользователей в сфере IT-безопасности для распространения своих поделок. В развитых странах преобладали зловреды, охотящиеся за информацией и деньгами пользователей. В Бразилии, как всегда, распространялись банкеры, а в России вполне традиционно вредоносные программы использовались в разнообразных мошеннических схемах.
В последнее время много говорят про «облачные» услуги, предоставляемые различными компаниями. В июне «облачный» сервис сети Amazon был использован злоумышленниками для размещения и распространения вредоносного ПО. Оно нацелено на пользователей Бразилии и крадет данные клиентов 9 банков этой страны. Чтобы повысить свои шансы на успех, вредоносная программа препятствует корректной работе антивирусных программ и специальных плагинов, обеспечивающих безопасность онлайн-банкинга. В ее функционал также входит кража цифровых сертификатов и учетных записей Microsoft Live Messenger.
Злоумышленники не оставляют в покое платформу Mac OS X. Если в мае были обнаружены поддельные антивирусы под эту платформу, то сейчас мошенники распространяют бэкдор Backdoor.OSX.Olyx.a. Эта вредоносная программа предназначена для удалённого управления компьютером: злоумышленники могут использовать заражённую систему в своих целях: скачивать другие зловреды, запускать программы и выполнять команды интерпретатора.
Июнь порадовал успехами в борьбе с киберкриминалом правоохранительных органов разных стран, при этом ряд успешных операций стал следствием их совместных действий. Так, в США была пресечена криминальная деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн. долларов. Помимо американских спецслужб, в операции приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра. В нескольких странах Юго-Восточной Азии было задержано около 600 человек, подозреваемых в реализации мошеннических схем в интернете. В операции приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. А в России по обвинению в организации DDoS-атаки на конкурирующий сервис был арестован Павел Врублевский, владелец крупнейшего в России процессингового центра ChronoPay. Стоит упомянуть и еще одно значимое событие в сфере борьбы с киберкриминалом на законодательном уровне: в июне японский парламент принял ряд поправок к существующим законам, назначив тюремные сроки за создание и распространение вредоносных программ.
Рейтинг вредоносных программ
Как и в предыдущие месяцы, в июне TOP 20 вредоносных программ в интернете пополнился большим количеством новых представителей, а рейтинг зловредов, обнаруженных на компьютерах пользователей, практически не изменился.
Вредоносные программы в интернете
В TOP 20 вредоносных программ в интернете по-прежнему преобладают зловреды, которые используются для осуществления drive-by атак: редиректоры, скриптовые загрузчики и эксплойты. Такие вредоносные программы заняли 14 из 20 строчек рейтинга.
В TOP 20 попали четыре редиректора: Trojan-Downloader.JS.Agent.fzn (12-е место), Trojan-Downloader.JS.Agent.gay (13-е место), Trojan-Downloader.JS.IFrame.cfw (14-е место) и Trojan.JS.IFrame.tm (15-е место).
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic01.png» target=_blank>
Отметим появление в рейтинге эксплойта Trojan-Downloader.SWF.Small.df (20-е место) в SWF-файлах. Его функционал заключается в скрытом запуске другого вредоносного SWF-файла, расположенного в той же папке на сервере.
«. Exploit.HTML.CVE-2010-4452.bc злоумышленники решили замаскировать: большинство символов в тэгах «
» были заменены на последовательности «&#number», а в оставшихся символах были изменены регистры.
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic04.png» target=_blank>
Вредоносные программы на компьютерах пользователей
Nimnul-инфектор
Впервые в TOP 20 этот зловред попал в мае и за два месяца добрался с 20-й позиции до 11-й. Это весьма необычно, учитывая, что файловые инфекторы постепенно сходят на нет. В настоящее время злоумышленники предпочитают зловреды, защищенные полиморфными упаковщиками (что обеспечивает уникальность упакованной вредоносной программы). Использовать файловые вирусы стало просто невыгодно: их разработка и поддержка достаточно сложны, при этом обнаружить их в системе относительно просто.
Вирус Nimnul.a заражает исполняемые файлы, добавляя в конец файла дополнительную секцию «.text» и модифицируя точку входа. После запуска любой заражённый файл проверяет наличие уникального идентификатора вируса в ОС (Mutex). Наличие объекта Mutex означает, что другой заражённый файл уже был запущен в системе. В этом случае вирус только запускает оригинальное приложение. Если же искомый Mutex не обнаружен, то сначала рассматриваемый синхронизирующий объект будет создан, а затем на диск будет сброшен основной компонент Nimnul. Этот компонент записывает на диск ещё несколько вредоносных библиотек.
Зловред крадёт персональные конфигурационные файлы популярных браузеров, подключается к удалённому серверу и в состоянии подменять вывод веб-страниц.
Приветствую. Статья расскажет о данном вирусе, а также о способах его удаления с персонального компьютера.
Virus.Win32.Nimnul.a — что это такое?
Вирус, после попадания на компьютер — внедряется в некоторые приложения, системные компоненты, далее открывает удаленный доступ к зараженной машине.
Упакован UPX-упаковщиком, впрочем нормально для подобных угроз. Написан на языке программирования C++.
При подключенных USB-накопителях на них создаются копии вируса: в корне диска появляется папка Recycler с вирусным модулем, а также модифицируется файл autorun.inf. Результат — вирус постоянно запускается при открытии сьемного диска.
Также может создавать следующий файл:
Папка Microsoft с вредоносным файлом также может создаваться в следующих директориях (открыть можно путем Win + R > вставить переменную):
Вирус может работать под системным процессом svchost.exe, который запускается из временной папки %Temp%.
После нахождения данной угрозы Каспер перемещает ее в карантин.
Virus.Win32.Nimnul.a — как удалить?
Можно попробовать удалить вручную при желании, используя данные рекомендации:
Однако на данный момент скорее всего удалить угрозу можно при помощи антивирусных утилит. Только стоит проверить ПК инструментами от разных типов угроз:
Virus*Nimnul*Win32*2 – вирус, заражающий exe, dll и Html файлы, а также открывающий злоумышленнику удаленный доступ к зараженной машине* Является приложением Windows (EXE файл)* Размер около 65 Кбайт*
Вирус создает свои копии на всех доступных для записи дисках, включая сетевые и съемные, для этого он копирует свое тело в папку » : / Recycler /» В корне зараженного диска создается сопутствующий файл autorun*inf, который позволит вирусу запускаться каждый раз, когда пользователь открывает зараженный диск при помощи программы «Проводник»* Вирус заражает exe и dll файлы, для этого он расширяет последнюю секцию заражаемого файла и дописывает туда своё тело* После чего изменяет точку входа, чтобы она указывала на вирусное тело* Вирус заражает html файлы, для этого он дописывает в конец файла Java-скрипт содержащий тело вируса в HEX кодах, а также команды, которые извлекают его тело во временную папку и запускают на выполнение* Таким образом, при каждом запуске html файла будет создаваться, и запускаться копия вируса* Техническое описание
После запуска вирус создает папку microsof, которая может располагаться в одной из следующих папок
После чего копирует туда свое тело под одним из случайных имён*
Для автозапуска, при каждом старте системы, вирус добавляет ключ реестра:
[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/] Userinit =»c:/program files/microsoft/watermark*exe» (Путь к телу вируса и имя вируса могут принимать разные значения)
В одной из папок создается конфигурационный файл вируса, под именем dmlconf*dat
После запуска вирус запускает браузер, и внедряется в его адресное пространство* Также вирус внедряется в память других системных процессов, таких как lsass*exe, svchost*exe и т*д*
Наличие зараженных процессов в системе позволяет вирусу инфицировать exe и html файлы, а также противодействовать попыткам удалить его файлы из системы, или изменить записи в реестре*
Для контроля своего процесса вирус создает уникальный идентификатор Mutex с именем “__PDH_PLA_MUTEX__”*
После запуска вирус проверяет наличие сети Internet, обращаясь к серверу google*com, после чего создает соединение с сервером злоумышленников для получения команд управления*
P.S. Думаю моя информация убережет большое количество игроков от такой ошибки!
А ты аффтар попробуй доказать обратное!
Добро пожаловать на официальный сайт бесплатной ролевой онлайн игры (online игры, mmorpg) «Территория 2». Браузерные ролевые игры (rpg) не требуют абонентской платы. Бесплатные игры, созданные по технологии Flash (флеш игры онлайн), также размещенные на этом сайте, разрешены к свободному распространению в некоммерческих целях.
После нахождения данной угрозы Каспер перемещает ее в карантин.
бот для игры 02:44, 26 июл 2014