Вирусописатели, а так же их родители.
Пам пам , парам пам !
Публикую тройку свежих троянцев по версии securitylab :
1.Trojan.Win32. Zum
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
ИнсталляцияПри запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»Деструктивная активность
При запуске троянец отбражает свое окно:
При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/
2.Trojan.Win32. Oficla.m
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.
Деструктивная активность
После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.
Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.
Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»
3.Trojan.JS. Fraud.ae
Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.
Деструктивная активность
Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:
Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:
После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350″
Если введенный код – меньше 6 символов, троянец выдает сообщение:
Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.При закрытии окна браузера, троянец выводит сообщение:
Как видно по нерабочим роликам из предыдущего поста не работает FlashPlayer — вернее не коректно обрабатывает код из предыдущих версий.
Надеюсь — это учтут разработчики ВКонтакте и поправят ошибку.
Что же нового в новой версии 10.1 для платформ Windows, Mac, и Linux :
- увеличение скорости работы и понижение использования ресурсов
- улучшения в ActionScript виртуальной машине, в т.ч. в сборщике мусора
- детектор нехватки памяти, который отключит показ содержимого, когда не хватает памяти
понижение приоритета для неактивного ролика (например на неактивной вкладке браузера); воспроизведение аудио при этом не пострадает - аппаратно ускоренное декодирование h.264 (видимо пока только для Windows)
- кеширование и восстановление соединения после сбоев для RTMP потоков
поддержка multi-touch - подержка private режима просмотра по аналогии с «частным просмотром» для браузера, когда всё временное содержимое хранится в памяти и не синхронизируется на диск
- многочисленные улучшения для Mac платформы
релиз закрывает недавнюю критическую уязвимость в 10.0.x
И конечно же многое другое.
