Главная (Newsland) ☣ Ха - ха - хакер ☣ А вот вам троянище!

09.06.2014 04:00

А вот вам троянище!

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'vnet' = '%HOMEPATH%\My Documents\dropped.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'%TEMP%\gETpD.exe'
'%TEMP%\ss.exe'
'%TEMP%\winzip155.exe'

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:

[<HKCU>\Software\Paltalk]
[<HKCU>\Software\Google\Google Talk\Accounts]

Изменения в файловой системе:

Создает следующие файлы:

%HOMEPATH%\My Documents\dropped.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\tasks[1].php
%TEMP%\gETpD.exe
%TEMP%\winzip155.exe
%TEMP%\ss.exe

Сетевая активность:

Подключается к:

'www.il#####rtex.ifail.su':80

TCP:

Запросы HTTP GET:

www.il#####rtex.ifail.su/vertex/adduser.php?ui###############################################################################################################################################################
www.il#####rtex.ifail.su/vertex/tasks.php?ui###################################################

UDP:

DNS ASK www.il#####rtex.ifail.su

Другое:

Ищет следующие окна:

ClassName: 'Indicator' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'

4 5 12

☣ Ха - ха - хакер ☣

212 участников

Смотрите также

Cyreit от доктора Вэба, определяляет этого зловреда на раз! Не только удаляет, но и лечит систему. Так и называется, лечащая утилита от доктор Вэб. Ну можно просмотмотреть ветки реестра, если в них разбираетесь. Иногда куски остаются. Не думаю, что надо напоминать, что с реестром аккуратно надо быть. Сама в него лишний раз не лезу, плоховато знаю. Мне товарищ написалал прогушку(если вернее, писал для себя - со мной поделился), которая именно со зловледами работает, поселю зверька, запущу её и она мне приносит всё на блюдечке, где полез, куда и чё делает. Она консольная. С её помощью, расковыриваяю вирусню. А через подвешенные системы лезу в зараженную венду, открываю коды и их изучаю. Понимаю не так и много, но шо то волоку.)))

1 Экспертное мнение

}{ack Moderator ответил Юрий Дубенков

2014-06-10

# 37197547

Как узнала, шо оно уже паливное? Да на вирустотал его скормила. Да, знакомая пакость, уже для Веба и Каспера. Сёдна его Аваст запалил. Остальные 48 анитивирей, в ус не дуют. А ведь сам ресурс Вирустотал, напрямую связан со многими антивирусными компаниями. Чё то они телятся - не знаю. Вирь галимый, свеженаписанный и даже не криптован был. А может им эту прогу продать, шоб пошустре работали? Ток у автора спрошу разрешения. Или они андидот так долго придумывают? Не понимаю! Там спецы сидят у остальных анвирных лабораторих, или же такие чайники, как я??)))

1 Экспертное мнение

Юрий Дубенков ответил }{ack Moderator

2014-06-10

# 37208825

Благодарю за консультацию.

У меня аваст, так понял он его должен опознать?

А реестр всё-таки гляну...

0 Экспертное мнение

Юрий Дубенков ответил }{ack Moderator

2014-06-10

# 37208875

Да, ещё вопрос, ветка [<hkcu>\Software\Microsoft\Windows\CurrentVersion\Run] 'vnet' = '%HOMEPATH%\My Documents\dropped.exe'

если есть dropped.exe', то его удалять?

0 Экспертное мнение

Показать 4 ответа

Свернуть ответы

Оперативные новости

17:45 С помощью генного редактирования учёные разработали питательный грибной протеин, который напоминает мясо 17:25 Космический аппарат «Кассини» обнаружил в океане Энцелада сложные органические соединения 17:05 В Малайзии от укуса медузы погиб двухлетний ребёнок из России 16:25 WSJ: США и Россия представили новый мирный план по Украине, который повторяет предложения Владимира Путина, озвученные на Аляске 16:05 Бывшая жена вратаря сборной России Сафонова подала иск на возмещение судебных расходов в размере 6 млн рублей 15:45 Бывший глава Госстройнадзора Новосибирской области, Алексей Нечунаев, был осужден на 7 лет за взяточничество

Голосование

О переговорах России и Украины, которые должны пройти 15 мая в Стамбуле

во время проведения «Стамбула 2.0» не будет принято значимы

Срыв или перенос переговоров допускают

Заключение договоренностей о дальнейших шагах к миру

Обострение конфликта

Долгосрочное мирное соглашение

Временное перемирие

Затрудняюсь ответить

Проголосовал 31 человек

Популярные каналы

Все о кино 46994 участника

Политика 35270 участников

Ньюсленд и его обитатели 130 подписчиков

Музыкальная битва 27846 участников

Back in the USSR 22087 участников

ПАРТИЯ "ВОЗРОЖДЕНИЕ ВЕЛИКОЙ РОССИИ ". 13867 участников

Клуб интеллектуалов 12389 участников

Политика - объективный и полноценный взгляд 11669 участников

А.Гершаник: эксперименты живьем 11629 участников

Интересные новости 11600 участников

Все каналы

Меню

Newsland.com – место, где обсуждают новости.

Социальный новостной агрегатор №1 в Рунете: самое важное о событиях в России и в мире. Newsland.com - это современная дискуссионная платформа для обмена информацией и мнениями.

В режиме 24/7 Newsland.com информирует о самом важном и интересном: политика, экономика, финансы, общество, социально значимые темы. Пользователь Newsland.com не только получает полную новостную картину, но и имеет возможность донести до аудитории собственную точку зрения. Наши пользователи сами формируют информационную повестку дня – публикуют новости, пишут статьи и комментарии.

Сайт ориентирован на взрослую аудиторию с активной жизненной позицией (35+).

При любом использовании материалов сайта пользователь обязан указать источник в виде гиперссылки на сайт newsland.com.

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Ответственность за содержание любых рекламных материалов, размещенных на портале, несет рекламодатель.

А вот вам троянище!

Смотрите также

И ещё раз о номерах пластиковых карт

Новая уязвимость в Zoom позволяет красть пароли в Windows

Комментарии

Оперативные новости

Голосование

Популярные каналы