Это цитата сообщения Bonitka Оригинальное сообщение
Лучше поздно, чем никогда :)
Информация специализированная, не всем понятная. Но, возможно, кому и полезна будет.. :)
Backdoor.Subot. Вирус первой категории.
Обнаружен: 12 декабря 2004г
Backdoor.Subot - троянская программа, которая загружается вместе с Serv-U FTP сервером и может быть контролирована через IRC каналы.
Длина кода вируса: 196,096 и 5,358 байт
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Backdoor.Subot это .dll файл, загружаемый когда Serv-U FTP сервер запущен. Атакующий вставляет следующие строки в serv-u.ini файл:
[EXTERNAL]
EventHookDll1 = sub0t.dll
ClientCheckDLL1 = sub0t.dll
Когда Backdoor.Subot загружен, он производит следующие действия:
1. Присоединяется к заранее указанному IRC серверу и ожидает команд от атакующего. Эти команды позволяют удаленно администрировать Serv-U FTP сервер.
2. Загружает настройки, включая IRC сервера, канала и ника из sub0t.ini. Хакер может конфигурировать эту информацию.
Вот один из примеров sub0t.ini.
[BOT]
BotActive = 1
Log = 0
IrcServer = irc.neurozone.ath.cx
Channel = #passion
ChannelKey = 94230
IrcPort = 6667
IrcPassword = 94230
Nick = oursin
Информация предоставлена: Symantec Security Response
Автор оригинальной статьи Candid Wueest
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.subot.html
Trojan.Conycspa. Вирус первой категории
Обнаружен: 13 декабря 2004г
Trojan.Conycspa - троянская программа, которая загружается adware, dialers, и spamming Trojanы из Интернета. Этот троян распространяется через спам.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
После загрузки троян производит следующие действия:
1. Копирует себя как %Windir%inetgservices.exe.
* %Windir% является значением, относящимся к папке установки Windows. Обычно это C:Windows или C:Winnt.
2. Добавляет значение:
"xp_system" = "%Windir%inetgservices.exe"
в ключ реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
в результате чего вирус будет загружаться при каждом включении Windows.
3. Добавляет значение:
"xp_system" = "%Windir%inetgservices.exe"
в ключ реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
в результате чего вирус будет загружаться при каждом включении Windows.
4. Добавляет значение:
"run" = "%Windir%inetgservices.exe"
в ключ реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWindows
в результате чего вирус будет загружаться при каждом включении Windows.
5. Добавляет ключ реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5321E378-FFAD-4999-8C62-03CA8155F0B3}
6. Добавляет следующую строчку в %Windir%system.ini файл.
load=%Windir%inetgservices.exe
7. Рассылает спам по всем адресам в Windows Address Book. E-mail имеет следующие характеристики:
From: girl@worldgirls.com
Subject: Re: hot pics
Body:
Hello, mate!
Just found this hot teen girl, if you want you can see here:
[Link to the domain nude-teens-bodies.com]
sweet body and hot tits!
reply me what you think about
В e-mail имеется скрытый фрейм на conyc.com
8. Скачивает файлы с conyc.com используя скрытый фрейм и пытается использовать некоторые уязвимости.
9. Сбрасывает %System%q123.vbs
10. Скачивает и выполняет %System%sm.exe
11. Скачивает commands.ini с conyc.com. В файле содержатся ряд ссылок на conyc.com, через которые троян пытается скачать и выполнить следующие программы:
Trojan.Adclicker.A
Adware.CWSConyc
Dialer.Webview
Dialer.Thehun
Adware.CWSConyc
Trojan.Conycspa
Информация предоставлена: Symantec Security Response
Автор оригинальной статьи Kaoru Hayashi
http://securityresponse.symantec.com/avcenter/venc/data/trojan.conycspa.html
Backdoor.Ranky.N . Вирус первой категории.
Обнаружен: 13 декабря 2004г
Backdoor.Ranky.N - бэкдор, позволяющий использовать зараженный компьютер как анонимный прокси.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
После загрузки Backdoor.Ranky.N, он проводит следующие действия:
1. Добавляет значение:
"MSSGisg" = "[file path to back door]"
в ключ реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
в результате чего бэкдор будет загружаться при каждой загрузке Windows.
2. Присоединяется к одному из следующих серверов на TCP порту 10100
168.251.73.0
45.190.80.3
37.123.146.2
165.148.65.20
237.208.143.5
38.37.87.87
113.212.18.80
78.22.234.0
69.28.235.18
3. Открывает анонимный прокси на зараженной машине.
Информация предоставлена: Symantec Security Response
Автор оригинальной статьи John Canavan
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.ranky.n.html
W32.Qeds@mm. Вирус второй категории
Обнаружен: 13 декабря 2004г
W32.Qeds@mm - червь, рассылающий свои копии на e-mail адреса найденные на зараженном компьютере.
Обладает высокой скоростью распространения.
Длина кода вируса: 14,848 байт
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
После загрузки W32.Qeds@mm выполняет следующие действия:
1. Копирует себя как %System%Inetdbs.exe.
2. Добавляет значение:
"Inet DataBase" = "%System%Inetdbs.exe"
в ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
в результате чего червь будет загружаться при каждой загрузке Windows.
3. Скачивает некоторые файлы с доменов:
tenship.com
freehost23.websamba.com
4. Пытается скачать копию Backdoor.PowerSpider.B с вышеперечисленных доменов.
5. Посылает копию самого себя на e-mail собранные на компьютере.
E-mail будет отвечать следующим характеристикам:
From: (Произвольный адрес)
Subject: (Китайский текст)
Message: (Китайский текст)
Attachment: [Китайский буквы].zip
Информация предоставлена: Symantec Security Response
Автор оригинальной статьи Kaoru Hayashi
http://securityresponse.symantec.com/avcenter/venc/data/w32.qeds@mm.html