Jump to content
Sign in to follow this  
Guest sp69

Nowe Trojany i Wirusy

Recommended Posts

Trojan-Downloader.Win32.Bagle.h

 

Trojan-Downloader.Win32.Bagle.h jest trojanem rozpowszechniającym się za pomocą spamów. Jest on jednym z komponentów robaka Email-Worm.Win32.Bagle. Napisany w C++ główny plik PE EXE zajmuje 9742 bajtów.

 

Przy pierwszym uruchomieniu wysyła własna kopię do katalogu systemowego windowsa pod nazwą „anti_troj.exe”:

 

%System%\anti_troj.exe

 

Następnie rejestruje ten plik w systemie, aby uruchamiał się on przy każdym starcie systemu:

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"anti_troj"="%System%\anti_troj.exe"

 

W kolejnym kroku wirus tworzy nowy katalog w katalogu głównym windowsa:

 

%Windir%/exefld/

 

do którego ściąga pliki z rozszerzeniem .exe z podanych niżej stron:

 

202.44.52.38

209.126.128.203

25kadr.org

65.108.195.73

80.146.233.41

abtechsafety.com

abtechsafety.com

acentrum.pl

adavenue.net

adoptionscanada.ca

adventecgroup.com

agenciaspublicidadinternet.com

ahava.cafe24.com

aikidan.com

alevibirligi.ch

alfaclassic.sk

allanconi.it

allinfo.com.au

americasenergyco.com

amerykaameryka.com

amistra.com

analisisyconsultoria.com

calamarco.com

ccooaytomadrid.org

charlies-truckerpage.de

drinkwater.ru

eleceltek.com

furdoszoba.info

kepter.kz

mijusungdo.net

oklens.co.jp

phrmg.org

s89.tku.edu.tw

sacafterdark.net

template.nease.net

tkdami.net

virt33.kei.pl

www.8ingatlan.hu

www.a2zhostings.com

www.abavitis.hu

www.adamant-np.ru

www.agroturystyka.artneo.pl

www.americarising.com

www.barth.serwery.pl

www.bmswijndepot.com

www.etwas-mode.de

www.leap.co.il

www.timecontrol.com.pl

www.ubu.pl

 

mks.com

Share this post


Link to post
Share on other sites

NetAtk-Gen

 

Trojan ten działa tylko na platformie Windows. Działa w tle, pozwalając zdalnemu intruzowi na przejęcie kontroli nad komputerem ofiary.

 

W momencie aktywacji tworzy poniższe pliki:

 

<System>\drivers\ndisfilter.sys

<System>\pfplg<3 letters>.dll

 

Plik ndisfilter.sys jest wyrkywalny jako NTRootK-AT.

Dodaje poniższy wpis do rejestru:

 

HKLM\SYSTEM\CurrentControlSet\Services\NdisFilter\

 

 

mks.com

Share this post


Link to post
Share on other sites

Groźny rootkit atakuje polskich użytkowników

 

Mimo, że w Polsce najczęściej atakującym zagrożeniem marca była rodzina koni trojańskich wykradających loginy i hasła do gier sieciowych, analitycy zagrożeń firmy Eset zwracają uwagę na inny złośliwy program - rootkit Win32/Rustock.

W ostatnim czasie na terenie Polski notowana jest zwiększona liczba infekcji tym zagrożeniem, które potrafi przyprawić o solidny ból głowy nie tylko początkującego użytkownika, ale nawet administratora sieci firmowej.

 

Eset przypomina, że Rustock to typowy rootkit, który znany jest specjalistom ds. bezpieczeństwa

IT od kilku lat. W ostatnim miesiącu zagrożenie to zainfekowało wiele polskich komputerów. W zależności od wersji Rustock stosuje różne metody ukrywania swojej obecności w systemie. Korzystając ze skutecznego maskowania rootkit potrafi zataić przed użytkownikiem fakt, że jego komputer został wcielony do armii komputerów zombie rozsyłających ogromną ilość niechcianej korespondencji, czyli tzw. spamu. Dodatkowo Rustock pełni rolę tzw. backdoora, umożliwiając przedostawanie się do zainfekowanego systemu kolejnych groźnych aplikacji.

 

Analitycy zagrożeń z firmy Eset zwracają uwagę, że o tym, że komputer padł ofiarą Rustocka użytkownik zwykle w ogóle nie wie. Na ślad tego zagrożenia doświadczonych posiadaczy komputerów może naprowadzić wyższe niż zwykle zużycie zasobów systemowych oraz sieci, wykorzystywanej przez Rustocka do rozsyłania spamu. Kontrola programem antywirusowym rozwiewa wszelkie wątpliwości lokalizując rootkita w … pamięci operacyjnej, skąd usunąć go nie jest wcale łatwo. Zdarza się nawet, że rozległe infekcje można wyleczyć jedynie posiłkując się płytą ratunkową utworzoną wcześniej przy pomocy

swojego programu antywirusowego.

 

Jak zapobiec ewentualnej infekcji tym groźnym rootkitem? Specjaliści z firmy Eset radzą, aby nie odwiedzać stron internetowych zawierających nielegalne kopie oprogramowania, pliki muzyczne czy też filmy. To właśnie tam można znaleźć Rustocka najczęściej. Przyda się również aktualizacja systemu operacyjnego oraz solidne zabezpieczenie w postaci programu antywirusowego lub pakietu

bezpieczeństwa, koniecznie z aktualną bazą sygnatur oraz ochroną proaktywną.

 

Według laboratoriów antywirusowych firmy Eset Rustock nie był jednak przyczyną największej liczby infekcji notowanych wśród polskich użytkowników w marcu bieżącego roku. Tutaj liderem pozostają rodziny

zagrożeń INF/Autorun - infekująca za pośrednictwem plików autostartu (10,89% wszystkich wykrytych infekcji) oraz PSW/OnLineGames - atakująca graczy sieciówek (6,71% wszystkich wykrytych infekcji). Tuż za nimi uplasował się robak internetowy Conficker, wykorzystujący załataną już dawno lukę w systemach operacyjnych Windows (5,61 % wszystkich wykrytych infekcji). Dalsze pozycje zajęły Win32/Pacex (2,48% wszystkich wykrytych infekcji), który służy koniom trojańskim do maskowania ich obecności na dysku twardym

zainfekowanej maszyny oraz robak Win32/Agent (2,20% wszystkich wykrytych infekcji) potrafiący wykradać dane użytkownika.

 

¬ródło: Eset

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.