Записи с меткой черви и трояны

(и еще 1 записям на сайте сопоставлена такая метка)

Другие метки пользователя ↓

2009: cамые громкие дела ушедшего года < пишем bat-вирусы и вирусы на pascal > eset nod32 smart security 4.2 google chrome xaker_cd_8.5.iso антивирус касперского 2011 вирус satana вирус заражающий com программы вирусы вирусы на паскале галина гроссманн гиперинсулинизм горячие новости декларации-2010 диета для похудения для похудения что можно здоровое питание как дать отпор хакерам как похудеть до анорексии как похудеть к лету как похудеть при сахарном диабете как сбросить вес как убрать жир с живота качаем файлы обновлений eset nod32/ 2010 03 когда какие продукты есть основы работы c brutus пакет инструментов для взома питание для похудения портрет российского хакера поседела похудение похудеть быстро похудеть за неделю похудеть на 5 кг правильное похудение приготовление пищи про взлом программы поиска "вирусов" ранняя седина рецепты для похудения селмевит сжигание жира содать-демотиватор.рф трояны: вопросы и ответы ххх целлюлит черви и трояны что нельзя при похудении эффективное похудение эффективные методы похудения

Комментарии (1)

<a href="https://www.liveinternet.ru/users/gafarov-91/post108796790/">Р’РёСЂСѓСЃС‹, С‡РµСЂРІРё Рё С‚СЂРѕСЏРЅС‹</a><br/>Р’РёСЂСѓСЃС‹, С‡РµСЂРІРё Рё С‚СЂРѕСЏРЅС‹

Р’ СЌС‚РѕР№ СЃС‚Р°С‚СЊРµ Р±СѓРґСѓС‚ РѕРїРёСЃР°РЅС‹ СЃР»РµРґСѓСЋС‰РёРµ С‚СЂРѕСЏРЅС‹, РІРёСЂСѓСЃС‹ Рё С‡РµСЂРІРё:

Hybris, MTX, Wscript.KakWorm, NetMonitor,GirlFriend, Acid Shiver, Deep Throat 1.0, Deep Throat 2.0

РќСѓ С‚СЂРѕСЏРЅРѕРІ РѕС‡РµРЅСЊ РјРЅРѕРіРѕ С‚Р°Рє РЅРµ Р±СѓРґРµРј РёС… РІСЃРµС… РѕРїРёСЃС‹РІР°С‚СЊ, СЃРїРёСЃРѕРє РІСЃРµС… РёР·РІРµСЃС‚РЅС‹С… С‚СЂРѕСЏРЅРѕРІ РІ РјРёСЂРµ РјРѕР¶РЅРѕ РїРѕСЃРјРѕС‚СЂРµС‚СЊ Р·РґРµСЃСЊ

Hybris

Р”РѕРІРѕР»СЊРЅРѕ СЃР»РѕР¶РЅС‹Р№ Рё РЅРµРїР»РѕС…Рѕ РЅР°РїРёСЃР°РЅРЅС‹Р№ С‚СЂРѕСЏРЅ. РћР±С‹С‡РЅРѕ РїРѕРїР°РґР°РµС‚ РІ СЃРёСЃС‚РµРјС‹ СЃС‚Р°РЅРґР°СЂС‚РЅС‹Рј СЃРїРѕСЃРѕР±РѕРј вЂ“ РїСЂРёС…РѕРґРёС‚ РїСЂРёРєСЂРµРїР»РµРЅРЅС‹Рј Рє РїРёСЃСЊРјСѓ СЃРѕ СЃС‚Р°РЅРґР°СЂС‚РЅС‹Рј СЃРѕРґРµСЂР¶Р°РЅРёРµРј РЅР° С‚РµРјСѓ РїРѕСЂРЅРѕРєР°СЂС‚РёРЅРѕРє. РџРѕСЃР»Рµ Р·Р°РїСѓСЃРєР° С‚СЂРѕСЏРЅ Р·Р°СЂР°Р¶Р°РµС‚ С„Р°Р№Р» WSOCK32.DLL, РєРѕС‚РѕСЂС‹Р№ СЃРѕР±СЃС‚РІРµРЅРЅРѕ Рё РѕС‚РІРµС‡Р°РµС‚ Р·Р° СЂР°Р±РѕС‚Сѓ РІ СЃРµС‚Рё (РРЅС‚РµСЂ... <a href="https://www.liveinternet.ru/users/gafarov-91/post108796790/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Вирусы, черви и трояны

Дневник

Пятница, 21 Августа 2009 г. 15:24 + в цитатник

Вирусы, черви и трояны

В этой статье будут описаны следующие трояны, вирусы и черви:

Hybris, MTX, Wscript.KakWorm, NetMonitor,GirlFriend, Acid Shiver, Deep Throat 1.0, Deep Throat 2.0

Ну троянов очень много так не будем их всех описывать, список всех известных троянов в мире можно посмотреть здесь

Hybris

Довольно сложный и неплохо написанный троян. Обычно попадает в системы стандартным способом – приходит прикрепленным к письму со стандартным содержанием на тему порнокартинок. После запуска троян заражает файл WSOCK32.DLL, который собственно и отвечает за работу в сети (Интернете). Троян записывает себя в конец файла и заменяет точку входа DLL-библиотеки на свой код и при этом шифрует "настоящую" стартовую процедуру файла.

Червь перехватывает функции "connect", "recv", "send", сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам.

Вирус имеет возможность подключения дополнительных программ – плагинов, которые он самостоятельно скачивает из Интернета со страницы http://pleiku.vietmedia.com/bye/, что делает возможности создателя трояна безграничными. Работоспособен на всех Win32-платформах.

Защита: распознается последней версией AVP.

MTX

Довольно сложный по структуре троян. Состоит из трех частей – вирус, червь, троянец-backdoor. Вирус отвечает за заражение -exe файлов по технологии "Entry Point Obscuring". Вирус записывается не в точку входа заражаемого файла, а в любое произвольное место. Затем ищется подходящая процедура в теле программы и переписывается так, что вирус, понаделав пакостей, возвращает управление программе. Таким образом вирус фактически начинает работать не при запуске зараженной программы, а при выполнении определенной процедуры. Сам код вируса содержит в себе и червя, и троянца в запакованном виде. Другими словами, зараженный файл перенесет на другой компьютер полный набор радостей.

Собственно червь занимается “рекламой” и распространением вируса-трояна. Он также как и предыдущий троян заражает WSOCK32.DLL и распространяется, используя перехваченные почтовые адреса. В то же время он блокирует посылку любых писем на адреса антивирусных компаний и посещение их Web-сайтов. Ну, а троян-backdoor занимается тем, что скачивает программы с определенного сервера, что позволяет загрузить на зараженный компьютер все что угодно: закачать троян или какой-либо злобный вирус. Работает на Win32-платформе.

Защита: распознается последней версией AVP.

WScript.KakWorm

Этот червь написан на языке Java Script, для распространения использует MS Outlook Express.

Червь приходит на компьютер в виде письма в HTML-формате. В письме содержится троян, в виде программы, написанной на языке JavaScript. При открытии или предварительном просмотре сообщения скрипт-программа не видна, т.к. скрипты никогда не отображаются в HTML-документах (сообщениях, страницах и т.п.), но получает управление - и червь активизируется. Червь создает в системном каталоге Windows файл, имя которого зависит от настроек системы. Расширение файла – HTA. Также создается файл “KAK.HTM” – html-копия трояна.

Для справки: HTA-файл (HTML Application) - тип файлов, появившийся в MS Internet Explorer 5.0. HTA-файлы содержат обычный HTML-текст и скрипт-программы, но при запуске не вызывают оболочку Internet Explorer, а выполняются как отдельные приложения. Это дает возможность разрабатывать приложения (и вирусы), используя скрипт-программы.

Скрипт червя меняет разделы реестра, относящиеся к MS Outlook Express, - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на файл "KAK.HTM".

В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании нового сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит, все отправляемые сообщения оказываются зараженными. Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены). Одновременно червь заражает систему так, чтобы при каждой загрузке он активизировался - на тот случай, если пользователь заменит подпись по умолчанию.

Защита.
Сложности с этим трояном заключаются в том, что сканирование дисков на наличие вирусов бесполезно, так как при повторном прочтении письма система вновь заражается. Выход только один – установка антивирусного монитора. Однако это спасает только в момент записи трояна на диск, но не при чтении письма (и, соответственно, выполнении текста трояна).

Самый лучший выход – установка монитора скриптов, например “AVP Script Checker”.

И еще. Для записи своих файлов на диск червь использует бред в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет этот бред: http://support.microsoft.com/support/ kb/articles/Q240/3/08.ASP.

NetMonitor

Этот троян состоит из двух частей:

NetMonitor.exe - клиент
NetSpy.exe - сервер

Сервер стандартно запускается на компьютере жертвы. Вообщемс это обычный backdoor.

GirlFriend

GirlFriend(подруга) является программой, которая позволяет Вам получать информацию о приложениях работающих на удаленном компьютере. Это означает, что если компьютер подключенный к сети заражается ПОДРУГОЙ - Вы можете подключиться к этому PC и украсть с него такие вещи как: текст, который "зараженный" юзер вводит в любое окно, содержащее области пароля (телефон, login и т.д.); пароли, которые "инфицированный" пользователь вводит в поле для пароля.
Также Вы можете: Посылать системные сообщения ("system" messages) на удаленный компьютер; Проигрывать звуковые файлы; Показывать рисунки (в формате BMP); Запускать ехе файлы; Посылать зараженного пользователя на любую страничку; Изменить порт сервера; Спрятать GF Client с помощью BOSSKEY=F12; Сканировать подсеть на предмет зараженных компьютеров; Сохранять список окон с паролями (включая пароли); Работать с файлами и подкаталогами (включая CD-Rom) используя GF файл менеджер.

Acid Shiver

Acid Shiver - троян, который каждый раз использует разный порт, для управления серверной частью, используется телнет.
Троян состоит из двух файлов:
ACiD Setup.exe - конфигуратор трояна,
ACiD Shivers.exe - сам троян.
Конфигуратор: Используется для установки почтового ящика куда посылать информацию о запущенном сервере.
Клиент: Клиентом для данного трояна является телнет (telnet).

Deep Throat 1.0

Обладает малым количеством функций по сравнению с аналогичными программами.

УСТАНОВКА СЕРВЕРА: Все как всегда, но есть одна маленькая особенность: он не копируется в директорию Windows, а остается там, откуда его запустили, этот путь он и прописывает в реестре в разделе HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run в параметре SystemDLL32.

Deep Throat 2.0

Сервер - должен быть запущен на компьютере жертвы. После запуска сервер создает файл systray.exe в каталоге Windows и в реестре в разделе HKEY_LOCAL_MACHINE
Software\Microsoft\Windows\CurrentVersion\Run у ключа Systemtray значение меняется с SystTray.Exe на [WinPath]\systray.exe, где WinPath путь к Вашему каталогу Windows (например c:\Windows\)

автор: RealNeo

Рубрики:

Вирусы

Страницы:

[1]

LiveInternetLiveInternet

-Новости

-Метки

-Рубрики

-Приложения

-ТоррНАДО - торрент-трекер для блогов

-Поиск по дневнику

-Сообщества

-Статистика

Записи с меткой черви и трояны

Вирусы, черви и трояны

Дневник