Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»

Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение: