 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
Вирусология от Apollon
- Автор темы Apollon
- Дата начала
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Trojan-Downloader.Java.Agent.lc
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Деструктивная активность
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:
Активация вредоносного Java апплета происходит после открытия зараженной HTML страницы в браузере пользователя. Запуск осуществляется при помощи HTML-тэга "<applet>", для которого, в качестве одного из параметров, указывается главный класс апплета.
Апплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является массив ссылок, которые разделены символом "@". Далее полученные ссылки используются для загрузки другого вредоносного ПО.
Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:
%Temp%\ms<rnd>cfg32.exe
где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.
Деструктивная активность
Java-класс "sob" входит в состав JAR архива и является частью единого вредоноса. В архиве также хранятся следующие составляющие троянца:
Код:
asdfgh4.class – 212 байт qwertyu45.class – 259 байт sob$1.class – 457 байт v567345.class – 330 байтАпплету, с HTML страницы, передается параметр - "url". Значением параметра "url" является массив ссылок, которые разделены символом "@". Далее полученные ссылки используются для загрузки другого вредоносного ПО.
Троянец использует уязвимость, которая позволяет вредоносному апплету вызывать привилегированные методы без надлежащей проверки безопасности (CVE-2010-0840). Таким образом, вредонос может выполнять произвольный код на уязвимой системе. Уязвимыми являются Oracle Java SE и Java for Business:
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 6.0 версии 18 обновления и более ранние для Windows, Solaris и Linux;
- Java Development Kit (JDK) и Java Runtime Environment (JRE) 5.0 версии 23 обновления и более ранние для Solaris;
- Software Development Kit (SDK) 1.4.2 версии 25 обновления и более ранние для Solaris.
%Temp%\ms<rnd>cfg32.exe
где rnd – порядковый номер загружаемого файла. Затем при помощи командной строки троянец запускает загруженные файлы на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Обновить Java Runtime Environment и Java Development Kit до последних версий.
- Очистить каталог:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
HOAX.HTML.FRAUD.FR
Веб страница, предлагающая установить обновления для ряда продуктов.
Технические детали
Веб страница, предлагающая установить обновления для ряда продуктов. Является HTML страницей. Имеет размер 6927 байт. Написана на HTML.
Деструктивная активность
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:
Internet Explorer Opera Firefox Adobe Flash Player
Рекомендации по удалению
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:
Internet Explorer Opera Firefox Adobe Flash Player
Веб страница, предлагающая установить обновления для ряда продуктов.
Технические детали
Веб страница, предлагающая установить обновления для ряда продуктов. Является HTML страницей. Имеет размер 6927 байт. Написана на HTML.
Деструктивная активность
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:
Internet Explorer Opera Firefox Adobe Flash Player
Рекомендации по удалению
Веб страница представляет собой интерфейс к платному онлайн сервису по загрузке обновления для следующих продуктов:
Internet Explorer Opera Firefox Adobe Flash Player
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ
После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
После запуска троянец устанавливает соединение со следующим IP адресом: 69.***.192.250
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
TROJAN-DOWNLOADER.WIN32.SMALL.BSUJ
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их.
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их.
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
TROJAN.WIN32.SASFIS.UAJ
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл: %Temp%\.tmp
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на C++.
Деструктивная активность
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:
%Temp%\<rnd1>.tmp
Где <rnd1> - случайный набор цифр и букв латинского алфавита.
Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredavi.asq.
Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл: %Temp%\.tmp
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на C++.
Деструктивная активность
После запуска троянец расшифровывает и извлекает из своего тела во временный каталог текущего пользователя файл:
%Temp%\<rnd1>.tmp
Где <rnd1> - случайный набор цифр и букв латинского алфавита.
Данный файл имеет размер 27136 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Bredavi.asq.
Затем троянец подгружает в свое адресное пространство извлеченный файл и производит запуск содержащегося в нем вредоносного кода.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:где <rnd1> - случайный набор цифр и букв латинского алфавита.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
TROJAN-DOWNLOADER.WIN32.GENOME.CPIS
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE-EXE файл). Имеет размер 35356 байт. Написан на C++.
Деструктивная активность
После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов:
На момент создания описания ссылки не работали.
Троянец сохраняет загруженные файлы под следующими именами:
Далее троянец запускает скачанные файлы на выполнение и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE-EXE файл). Имеет размер 35356 байт. Написан на C++.
Деструктивная активность
После запуска, троянец расшифровывает свое тело и затем выполняет загрузку файлов со следующих URL адресов:
Код:
http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exe http://91.***.240.35/test_severyan_sdhkjwg.exe http://109.***.143.134/flash.exeТроянец сохраняет загруженные файлы под следующими именами:
Код:
%WinDir%\Temp\_ex-68.exe %WinDir%\Temp\_ex-08.exe %WinDir%\Temp\_ex-89.exe %WinDir%\Temp\_ex-44.exeРекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
Код:
%WinDir%\Temp\_ex-68.exe %WinDir%\Temp\_ex-08.exe %WinDir%\Temp\_ex-89.exe %WinDir%\Temp\_ex-44.exeApollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 890
- Реакции
- 1
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
TROJAN-DOWNLOADER.JS.IFRAME.CIM
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является HTML-страницей, содержащей сценарий языка Java Script. Имеет размер 46318 байт.
Деструктивная активность
После открытия зараженной страницы в браузере, троянец, используя инструментарий языка JavaScript, выполняет дешифровку своего кода и запускает его на выполнение.
При этом создает скрытый фрейм, в котором открывает следующие URL:
http://www.sus***ain.bz.cm/kent/enter.php
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.
Технические детали
Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является HTML-страницей, содержащей сценарий языка Java Script. Имеет размер 46318 байт.
Деструктивная активность
После открытия зараженной страницы в браузере, троянец, используя инструментарий языка JavaScript, выполняет дешифровку своего кода и запускает его на выполнение.
При этом создает скрытый фрейм, в котором открывает следующие URL:
http://www.sus***ain.bz.cm/kent/enter.php
На момент создания описания ссылка не работала.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы ( Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию).
 |
 |
|
|