Virus win32 nimnul a что это

990x.top

Простой компьютерный блог для души)

Virus.Win32.Nimnul.a — что это, как удалить?

Virus win32 nimnul a что это. 201030062557. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-201030062557. картинка Virus win32 nimnul a что это. картинка 201030062557

Приветствую. Статья расскажет о данном вирусе, а также о способах его удаления с персонального компьютера.

Virus.Win32.Nimnul.a — что это такое?

Вирус, после попадания на компьютер — внедряется в некоторые приложения, системные компоненты, далее открывает удаленный доступ к зараженной машине.

Упакован UPX-упаковщиком, впрочем нормально для подобных угроз. Написан на языке программирования C++.

При подключенных USB-накопителях на них создаются копии вируса: в корне диска появляется папка Recycler с вирусным модулем, а также модифицируется файл autorun.inf. Результат — вирус постоянно запускается при открытии сьемного диска.

Также может создавать следующий файл:

Папка Microsoft с вредоносным файлом также может создаваться в следующих директориях (открыть можно путем Win + R > вставить переменную):

Вирус может работать под системным процессом svchost.exe, который запускается из временной папки %Temp%.

Virus win32 nimnul a что это. 201030062724. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-201030062724. картинка Virus win32 nimnul a что это. картинка 201030062724После нахождения данной угрозы Каспер перемещает ее в карантин.

Virus.Win32.Nimnul.a — как удалить?

Можно попробовать удалить вручную при желании, используя данные рекомендации:

Virus win32 nimnul a что это. 201030062020. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-201030062020. картинка Virus win32 nimnul a что это. картинка 201030062020

Однако на данный момент скорее всего удалить угрозу можно при помощи антивирусных утилит. Только стоит проверить ПК инструментами от разных типов угроз:

Источник

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

Основные события месяца

Первый месяц лета прошел относительно спокойно: никаких значимых инцидентов, к счастью, не произошло. Киберкриминальный фон месяца можно назвать «классическим». В развивающихся странах злоумышленники использовали неграмотность пользователей в сфере IT-безопасности для распространения своих поделок. В развитых странах преобладали зловреды, охотящиеся за информацией и деньгами пользователей. В Бразилии, как всегда, распространялись банкеры, а в России вполне традиционно вредоносные программы использовались в разнообразных мошеннических схемах.

В последнее время много говорят про «облачные» услуги, предоставляемые различными компаниями. В июне «облачный» сервис сети Amazon был использован злоумышленниками для размещения и распространения вредоносного ПО. Оно нацелено на пользователей Бразилии и крадет данные клиентов 9 банков этой страны. Чтобы повысить свои шансы на успех, вредоносная программа препятствует корректной работе антивирусных программ и специальных плагинов, обеспечивающих безопасность онлайн-банкинга. В ее функционал также входит кража цифровых сертификатов и учетных записей Microsoft Live Messenger.

Злоумышленники не оставляют в покое платформу Mac OS X. Если в мае были обнаружены поддельные антивирусы под эту платформу, то сейчас мошенники распространяют бэкдор Backdoor.OSX.Olyx.a. Эта вредоносная программа предназначена для удалённого управления компьютером: злоумышленники могут использовать заражённую систему в своих целях: скачивать другие зловреды, запускать программы и выполнять команды интерпретатора.

Июнь порадовал успехами в борьбе с киберкриминалом правоохранительных органов разных стран, при этом ряд успешных операций стал следствием их совместных действий. Так, в США была пресечена криминальная деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн. долларов. Помимо американских спецслужб, в операции приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра. В нескольких странах Юго-Восточной Азии было задержано около 600 человек, подозреваемых в реализации мошеннических схем в интернете. В операции приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. А в России по обвинению в организации DDoS-атаки на конкурирующий сервис был арестован Павел Врублевский, владелец крупнейшего в России процессингового центра ChronoPay. Стоит упомянуть и еще одно значимое событие в сфере борьбы с киберкриминалом на законодательном уровне: в июне японский парламент принял ряд поправок к существующим законам, назначив тюремные сроки за создание и распространение вредоносных программ.

Рейтинг вредоносных программ

Как и в предыдущие месяцы, в июне TOP 20 вредоносных программ в интернете пополнился большим количеством новых представителей, а рейтинг зловредов, обнаруженных на компьютерах пользователей, практически не изменился.

Вредоносные программы в интернете

В TOP 20 вредоносных программ в интернете по-прежнему преобладают зловреды, которые используются для осуществления drive-by атак: редиректоры, скриптовые загрузчики и эксплойты. Такие вредоносные программы заняли 14 из 20 строчек рейтинга.

В TOP 20 попали четыре редиректора: Trojan-Downloader.JS.Agent.fzn (12-е место), Trojan-Downloader.JS.Agent.gay (13-е место), Trojan-Downloader.JS.IFrame.cfw (14-е место) и Trojan.JS.IFrame.tm (15-е место).

Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic01.png» target=_blank>Virus win32 nimnul a что это. 26141 37805773. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805773. картинка Virus win32 nimnul a что это. картинка 26141 37805773

Фрагмент скрипта, заражённого Trojan-Downloader.JS.Agent.gay

Скриптовые загрузчики представлены в рейтинге двумя группами. Первая: Trojan.JS.Redirector.pz (5-е место), Trojan.JS.Redirector.qa (7-е место) и Trojan.JS.Redirector.py (8-е место), Trojan.JS.Redirector.qb (9-е место). Вторая: Trojan-Downloader.JS.Agent.gbj (11-е место) и Trojan-Downloader.JS.Agent.gaf (19-е место).

Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic02.png» target=_blank>Virus win32 nimnul a что это. 26141 37805774. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805774. картинка Virus win32 nimnul a что это. картинка 26141 37805774

Фрагмент вредоносного загрузчика Trojan.JS.Redirector.qa

Отметим появление в рейтинге эксплойта Trojan-Downloader.SWF.Small.df (20-е место) в SWF-файлах. Его функционал заключается в скрытом запуске другого вредоносного SWF-файла, расположенного в той же папке на сервере.

Virus win32 nimnul a что это. 26141 37805775. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805775. картинка Virus win32 nimnul a что это. картинка 26141 37805775

Фрагмент обфусцированного JavaScript-скрипта Exploit.JS.Pdfka.duj

«. Exploit.HTML.CVE-2010-4452.bc злоумышленники решили замаскировать: большинство символов в тэгах «

» были заменены на последовательности «&#number», а в оставшихся символах были изменены регистры.

Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic04.png» target=_blank>Virus win32 nimnul a что это. 26141 37805776. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805776. картинка Virus win32 nimnul a что это. картинка 26141 37805776

Вредоносные программы на компьютерах пользователей


Nimnul-инфектор

Впервые в TOP 20 этот зловред попал в мае и за два месяца добрался с 20-й позиции до 11-й. Это весьма необычно, учитывая, что файловые инфекторы постепенно сходят на нет. В настоящее время злоумышленники предпочитают зловреды, защищенные полиморфными упаковщиками (что обеспечивает уникальность упакованной вредоносной программы). Использовать файловые вирусы стало просто невыгодно: их разработка и поддержка достаточно сложны, при этом обнаружить их в системе относительно просто.

Вирус Nimnul.a заражает исполняемые файлы, добавляя в конец файла дополнительную секцию «.text» и модифицируя точку входа. После запуска любой заражённый файл проверяет наличие уникального идентификатора вируса в ОС (Mutex). Наличие объекта Mutex означает, что другой заражённый файл уже был запущен в системе. В этом случае вирус только запускает оригинальное приложение. Если же искомый Mutex не обнаружен, то сначала рассматриваемый синхронизирующий объект будет создан, а затем на диск будет сброшен основной компонент Nimnul. Этот компонент записывает на диск ещё несколько вредоносных библиотек.

Зловред крадёт персональные конфигурационные файлы популярных браузеров, подключается к удалённому серверу и в состоянии подменять вывод веб-страниц.

Virus win32 nimnul a что это. 26141 37805777. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805777. картинка Virus win32 nimnul a что это. картинка 26141 37805777

TOP 20 вредоносных программ в интернете


ПозицияИзменение позицииВредоносная программа
1 Virus win32 nimnul a что это. 26141 37805778. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805778. картинка Virus win32 nimnul a что это. картинка 26141 378057782AdWare.Win32.FunWeb.kd
2 Virus win32 nimnul a что это. 26141 37805779. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805779. картинка Virus win32 nimnul a что это. картинка 26141 378057794Trojan-Downloader.JS.Agent.fxq
3 Virus win32 nimnul a что это. 26141 37805780. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805780. картинка Virus win32 nimnul a что это. картинка 26141 378057802AdWare.Win32.FunWeb.jp
4 Virus win32 nimnul a что это. 26141 37805781. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805781. картинка Virus win32 nimnul a что это. картинка 26141 37805781-2Trojan.JS.Popupper.aw
5 Virus win32 nimnul a что это. 26141 37805782. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805782. картинка Virus win32 nimnul a что это. картинка 26141 37805782NewTrojan.JS.Redirector.pz
6 Virus win32 nimnul a что это. 26141 37805783. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805783. картинка Virus win32 nimnul a что это. картинка 26141 378057835Trojan.HTML.Iframe.dl
7 Virus win32 nimnul a что это. 26141 37805784. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805784. картинка Virus win32 nimnul a что это. картинка 26141 37805784NewTrojan.JS.Redirector.qa
8 Virus win32 nimnul a что это. 26141 37805785. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805785. картинка Virus win32 nimnul a что это. картинка 26141 37805785NewTrojan.JS.Redirector.py
9 Virus win32 nimnul a что это. 26141 37805786. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805786. картинка Virus win32 nimnul a что это. картинка 26141 37805786NewTrojan.JS.Redirector.qb
10 Virus win32 nimnul a что это. 26141 37805787. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805787. картинка Virus win32 nimnul a что это. картинка 26141 37805787NewExploit.HTML.CVE-2010-4452.bc
11 Virus win32 nimnul a что это. 26141 37805788. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805788. картинка Virus win32 nimnul a что это. картинка 26141 37805788NewTrojan-Downloader.JS.Agent.gbj
12 Virus win32 nimnul a что это. 26141 37805789. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805789. картинка Virus win32 nimnul a что это. картинка 26141 37805789NewTrojan-Downloader.JS.Agent.fzn
13 Virus win32 nimnul a что это. 26141 37805790. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805790. картинка Virus win32 nimnul a что это. картинка 26141 37805790NewTrojan-Downloader.JS.Agent.gay
14 Virus win32 nimnul a что это. 26141 37805791. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805791. картинка Virus win32 nimnul a что это. картинка 26141 37805791NewTrojan-Downloader.JS.Iframe.cfw
15 Virus win32 nimnul a что это. 26141 37805792. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805792. картинка Virus win32 nimnul a что это. картинка 26141 37805792NewTrojan.JS.Iframe.tm
16 Virus win32 nimnul a что это. 26141 37805793. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805793. картинка Virus win32 nimnul a что это. картинка 26141 37805793NewExploit.JS.Pdfka.dyi
17 Virus win32 nimnul a что это. 26141 37805794. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805794. картинка Virus win32 nimnul a что это. картинка 26141 37805794NewExploit.JS.Pdfka.duj
18 Virus win32 nimnul a что это. 26141 37805795. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805795. картинка Virus win32 nimnul a что это. картинка 26141 37805795NewTrojan-Ransom.JS.SMSer.id
19 Virus win32 nimnul a что это. 26141 37805796. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805796. картинка Virus win32 nimnul a что это. картинка 26141 37805796NewTrojan-Downloader.JS.Agent.gaf
20 Virus win32 nimnul a что это. 26141 37805797. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805797. картинка Virus win32 nimnul a что это. картинка 26141 37805797-1Hoax.Win32.Screensaver.b

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей


ПозицияИзменение позицииВредоносная программа
1 Virus win32 nimnul a что это. 26141 37805798. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805798. картинка Virus win32 nimnul a что это. картинка 26141 378057980Net-Worm.Win32.Kido.ir
2 Virus win32 nimnul a что это. 26141 37805799. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805799. картинка Virus win32 nimnul a что это. картинка 26141 378057992AdWare.Win32.FunWeb.kd
3 Virus win32 nimnul a что это. 26141 37805800. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805800. картинка Virus win32 nimnul a что это. картинка 26141 37805800-1Virus.Win32.Sality.aa
4 Virus win32 nimnul a что это. 26141 37805801. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805801. картинка Virus win32 nimnul a что это. картинка 26141 37805801-1Net-Worm.Win32.Kido.ih
5 Virus win32 nimnul a что это. 26141 37805802. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805802. картинка Virus win32 nimnul a что это. картинка 26141 378058020Trojan.Win32.Starter.yy
6 Virus win32 nimnul a что это. 26141 37805803. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805803. картинка Virus win32 nimnul a что это. картинка 26141 378058030Virus.Win32.Sality.bh
7 Virus win32 nimnul a что это. 26141 37805804. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805804. картинка Virus win32 nimnul a что это. картинка 26141 378058041Virus.Win32.Sality.ag
8 Virus win32 nimnul a что это. 26141 37805805. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805805. картинка Virus win32 nimnul a что это. картинка 26141 37805805-1Trojan-Downloader.Win32.Geral.cnh
9 Virus win32 nimnul a что это. 26141 37805806. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805806. картинка Virus win32 nimnul a что это. картинка 26141 378058060HackTool.Win32.Kiser.il
10 Virus win32 nimnul a что это. 26141 37805807. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805807. картинка Virus win32 nimnul a что это. картинка 26141 37805807ReturnAdWare.Win32.HotBar.dh
11 Virus win32 nimnul a что это. 26141 37805808. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805808. картинка Virus win32 nimnul a что это. картинка 26141 378058081Virus.Win32.Nimnul.a
12 Virus win32 nimnul a что это. 26141 37805809. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805809. картинка Virus win32 nimnul a что это. картинка 26141 37805809-2Trojan-Downloader.Win32.FlyStudio.kx
13 Virus win32 nimnul a что это. 26141 37805810. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805810. картинка Virus win32 nimnul a что это. картинка 26141 378058105Trojan.JS.Agent.bhr
14 Virus win32 nimnul a что это. 26141 37805811. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805811. картинка Virus win32 nimnul a что это. картинка 26141 378058110Worm.Win32.FlyStudio.cu
15 Virus win32 nimnul a что это. 26141 37805812. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805812. картинка Virus win32 nimnul a что это. картинка 26141 378058121Worm.Win32.Mabezat.b
16 Virus win32 nimnul a что это. 26141 37805813. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805813. картинка Virus win32 nimnul a что это. картинка 26141 37805813-3HackTool.Win32.Kiser.zv
17 Virus win32 nimnul a что это. 26141 37805814. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805814. картинка Virus win32 nimnul a что это. картинка 26141 378058140Hoax.Win32.Screensaver.b
18 Virus win32 nimnul a что это. 26141 37805815. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805815. картинка Virus win32 nimnul a что это. картинка 26141 378058151Trojan-Downloader.Win32.VB.eql
19 Virus win32 nimnul a что это. 26141 37805816. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805816. картинка Virus win32 nimnul a что это. картинка 26141 37805816-4Hoax.Win32.ArchSMS.pxm
20 Virus win32 nimnul a что это. 26141 37805817. Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-26141 37805817. картинка Virus win32 nimnul a что это. картинка 26141 37805817NewTrojan-Downloader.SWF.Small.dj
Помощь
Virus win32 nimnul a что это. . Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-. картинка Virus win32 nimnul a что это. картинка
Задать вопрос
программы
обучение
экзамены
компьютеры
Virus win32 nimnul a что это. . Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-. картинка Virus win32 nimnul a что это. картинка
ICQ-консультанты
Virus win32 nimnul a что это. . Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-. картинка Virus win32 nimnul a что это. картинка
Skype-консультанты
Общая справка
Как оформить заказ
Тарифы доставки
Способы оплаты
Прайс-лист
Карта сайта
Virus win32 nimnul a что это. . Virus win32 nimnul a что это фото. Virus win32 nimnul a что это-. картинка Virus win32 nimnul a что это. картинка

О нас
Интернет-магазин ITShop.ru предлагает широкий спектр услуг информационных технологий и ПО.

На протяжении многих лет интернет-магазин предлагает товары и услуги, ориентированные на бизнес-пользователей и специалистов по информационным технологиям.

Хорошие отзывы постоянных клиентов и высокий уровень специалистов позволяет получить наивысший результат при совместной работе.

Источник

Virus.Nimnul.Win32.2

Virus.Nimnul.Win32.2 – вирус, заражающий exe, dll и Html файлы, а также открывающий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (EXE файл). размер

Методы распространения

Техническое описание

После запуска вирус создает папку microsof, которая может располагаться в одной из следующих папок

%System%
%WinDir%
%Temp%
%HOMEPATH%
%HOMEDRIVE%
%APPDATA%

После чего копирует туда свое тело под одним из случайных имён.

Например:
c:\program files\microsoft\watermark.exe

Для автозапуска, при каждом старте системы, вирус добавляет ключ реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Userinit c:\program files\microsoft\watermark.exe»
(Путь к телу вируса и имя вируса могут принимать разные значения)

В одной из папок создается конфигурационный файл вируса, под именем dmlconf.dat

Например:
C:\WINDOWS\system32\dmlconf.dat

После запуска вирус запускает браузер, и внедряется в его адресное пространство. Также вирус внедряется в память других системных процессов, таких как lsass.exe, svchost.exe и т.д.

Наличие зараженных процессов в системе позволяет вирусу инфицировать exe и html файлы, а также противодействовать попыткам удалить его файлы из системы, или изменить записи в реестре.

Для контроля своего процесса вирус создает уникальный идентификатор Mutex с именем “__PDH_PLA_MUTEX__”.

Деструктивные возможности

После запуска вирус проверяет наличие сети Internet, обращаясь к серверу google.com, после чего создает соединение с сервером злоумышленников для получения команд управления.

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.

Источник

Virus win32 nimnul a что это

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.

Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++.

Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт.

Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++.

Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге:

имя зараженного диска:/Recycler

Также в корне диска создается файл

имя зараженного диска:/autorun.inf

обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe«, тело вредоноса копируется в файл:

после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах:

%HOMEDRIVE%
%HOMEPATH%
%APPDATA%
%System%
%WinDir%
%Temp%

После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий:

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
«Userinit» = «%System%/userinit.exe,,%Program Files%/microsoft/desktoplayer.exe»

Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме».

При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания:

SCRIPT Language=VBScript!—DropFileName = «svchost.exe»
WriteData = «4D5A… (тело вредоноса)»
Set FSO = CreateObject(«Scripting.FileSystemObject»)
DropPath = FSO.GetSpecialFolder(2) & «/» & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng(«&H» & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject(«WScript.Shell»)
WSHshell.Run DropPath, 0
//—/SCRIPT

Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса:

Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp».

По полученной от злоумышленника команде вредонос может выполнять следующие действия:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

[HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
«Userinit» = «userinit.exe»

%Program Files%MicrosoftDesktopLayer.exe
%Temp%/svchost.exe
имя зараженного диска:/Recycler
имя зараженного диска:/autorun.inf

Новости
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний.

Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов.

Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США.

17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями.

Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации.

11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код.

Вредонос получает права администратора, деактивировать которые невозможно.

11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play.

Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com.

03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов.

Windows не предоставляет графический интерфейс для просмотра полного списка.

03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall.

Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей.

Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall.

24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ.

Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных.

Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова.

24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов.

В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus».

Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России.

18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру

На данный момент только компания AT&T прекратила использование супер cookie-файлов.

По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан.

18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций.

ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете.

Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *