Virus win32 nimnul a что это
990x.top
Простой компьютерный блог для души)
Virus.Win32.Nimnul.a — что это, как удалить?
Приветствую. Статья расскажет о данном вирусе, а также о способах его удаления с персонального компьютера.
Virus.Win32.Nimnul.a — что это такое?
Вирус, после попадания на компьютер — внедряется в некоторые приложения, системные компоненты, далее открывает удаленный доступ к зараженной машине.
Упакован UPX-упаковщиком, впрочем нормально для подобных угроз. Написан на языке программирования C++.
При подключенных USB-накопителях на них создаются копии вируса: в корне диска появляется папка Recycler с вирусным модулем, а также модифицируется файл autorun.inf. Результат — вирус постоянно запускается при открытии сьемного диска.
Также может создавать следующий файл:
Папка Microsoft с вредоносным файлом также может создаваться в следующих директориях (открыть можно путем Win + R > вставить переменную):
Вирус может работать под системным процессом svchost.exe, который запускается из временной папки %Temp%.
После нахождения данной угрозы Каспер перемещает ее в карантин.
Virus.Win32.Nimnul.a — как удалить?
Можно попробовать удалить вручную при желании, используя данные рекомендации:
Однако на данный момент скорее всего удалить угрозу можно при помощи антивирусных утилит. Только стоит проверить ПК инструментами от разных типов угроз:
В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:
Основные события месяца
Первый месяц лета прошел относительно спокойно: никаких значимых инцидентов, к счастью, не произошло. Киберкриминальный фон месяца можно назвать «классическим». В развивающихся странах злоумышленники использовали неграмотность пользователей в сфере IT-безопасности для распространения своих поделок. В развитых странах преобладали зловреды, охотящиеся за информацией и деньгами пользователей. В Бразилии, как всегда, распространялись банкеры, а в России вполне традиционно вредоносные программы использовались в разнообразных мошеннических схемах.
В последнее время много говорят про «облачные» услуги, предоставляемые различными компаниями. В июне «облачный» сервис сети Amazon был использован злоумышленниками для размещения и распространения вредоносного ПО. Оно нацелено на пользователей Бразилии и крадет данные клиентов 9 банков этой страны. Чтобы повысить свои шансы на успех, вредоносная программа препятствует корректной работе антивирусных программ и специальных плагинов, обеспечивающих безопасность онлайн-банкинга. В ее функционал также входит кража цифровых сертификатов и учетных записей Microsoft Live Messenger.
Злоумышленники не оставляют в покое платформу Mac OS X. Если в мае были обнаружены поддельные антивирусы под эту платформу, то сейчас мошенники распространяют бэкдор Backdoor.OSX.Olyx.a. Эта вредоносная программа предназначена для удалённого управления компьютером: злоумышленники могут использовать заражённую систему в своих целях: скачивать другие зловреды, запускать программы и выполнять команды интерпретатора.
Июнь порадовал успехами в борьбе с киберкриминалом правоохранительных органов разных стран, при этом ряд успешных операций стал следствием их совместных действий. Так, в США была пресечена криминальная деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, ущерб от их деятельности составил 74 млн. долларов. Помимо американских спецслужб, в операции приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра. В нескольких странах Юго-Восточной Азии было задержано около 600 человек, подозреваемых в реализации мошеннических схем в интернете. В операции приняли участие полицейские подразделения Китая, Тайваня, Камбоджи, Индонезии, Малайзии и Таиланда. А в России по обвинению в организации DDoS-атаки на конкурирующий сервис был арестован Павел Врублевский, владелец крупнейшего в России процессингового центра ChronoPay. Стоит упомянуть и еще одно значимое событие в сфере борьбы с киберкриминалом на законодательном уровне: в июне японский парламент принял ряд поправок к существующим законам, назначив тюремные сроки за создание и распространение вредоносных программ.
Рейтинг вредоносных программ
Как и в предыдущие месяцы, в июне TOP 20 вредоносных программ в интернете пополнился большим количеством новых представителей, а рейтинг зловредов, обнаруженных на компьютерах пользователей, практически не изменился.
Вредоносные программы в интернете
В TOP 20 вредоносных программ в интернете по-прежнему преобладают зловреды, которые используются для осуществления drive-by атак: редиректоры, скриптовые загрузчики и эксплойты. Такие вредоносные программы заняли 14 из 20 строчек рейтинга.
В TOP 20 попали четыре редиректора: Trojan-Downloader.JS.Agent.fzn (12-е место), Trojan-Downloader.JS.Agent.gay (13-е место), Trojan-Downloader.JS.IFrame.cfw (14-е место) и Trojan.JS.IFrame.tm (15-е место).
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic01.png» target=_blank>
Фрагмент скрипта, заражённого Trojan-Downloader.JS.Agent.gay
Скриптовые загрузчики представлены в рейтинге двумя группами. Первая: Trojan.JS.Redirector.pz (5-е место), Trojan.JS.Redirector.qa (7-е место) и Trojan.JS.Redirector.py (8-е место), Trojan.JS.Redirector.qb (9-е место). Вторая: Trojan-Downloader.JS.Agent.gbj (11-е место) и Trojan-Downloader.JS.Agent.gaf (19-е место).
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic02.png» target=_blank>
Фрагмент вредоносного загрузчика Trojan.JS.Redirector.qa
Отметим появление в рейтинге эксплойта Trojan-Downloader.SWF.Small.df (20-е место) в SWF-файлах. Его функционал заключается в скрытом запуске другого вредоносного SWF-файла, расположенного в той же папке на сервере.
Фрагмент обфусцированного JavaScript-скрипта Exploit.JS.Pdfka.duj
«. Exploit.HTML.CVE-2010-4452.bc злоумышленники решили замаскировать: большинство символов в тэгах «
» были заменены на последовательности «&#number», а в оставшихся символах были изменены регистры.
Открыть в полный размер’ href=»http://www.securelist.com/ru/images/vlill/top20_june2011_pic04.png» target=_blank>
Вредоносные программы на компьютерах пользователей
Nimnul-инфектор
Впервые в TOP 20 этот зловред попал в мае и за два месяца добрался с 20-й позиции до 11-й. Это весьма необычно, учитывая, что файловые инфекторы постепенно сходят на нет. В настоящее время злоумышленники предпочитают зловреды, защищенные полиморфными упаковщиками (что обеспечивает уникальность упакованной вредоносной программы). Использовать файловые вирусы стало просто невыгодно: их разработка и поддержка достаточно сложны, при этом обнаружить их в системе относительно просто.
Вирус Nimnul.a заражает исполняемые файлы, добавляя в конец файла дополнительную секцию «.text» и модифицируя точку входа. После запуска любой заражённый файл проверяет наличие уникального идентификатора вируса в ОС (Mutex). Наличие объекта Mutex означает, что другой заражённый файл уже был запущен в системе. В этом случае вирус только запускает оригинальное приложение. Если же искомый Mutex не обнаружен, то сначала рассматриваемый синхронизирующий объект будет создан, а затем на диск будет сброшен основной компонент Nimnul. Этот компонент записывает на диск ещё несколько вредоносных библиотек.
Зловред крадёт персональные конфигурационные файлы популярных браузеров, подключается к удалённому серверу и в состоянии подменять вывод веб-страниц.
TOP 20 вредоносных программ в интернете
Позиция | Изменение позиции | Вредоносная программа |
1 | 2 | AdWare.Win32.FunWeb.kd |
2 | 4 | Trojan-Downloader.JS.Agent.fxq |
3 | 2 | AdWare.Win32.FunWeb.jp |
4 | -2 | Trojan.JS.Popupper.aw |
5 | New | Trojan.JS.Redirector.pz |
6 | 5 | Trojan.HTML.Iframe.dl |
7 | New | Trojan.JS.Redirector.qa |
8 | New | Trojan.JS.Redirector.py |
9 | New | Trojan.JS.Redirector.qb |
10 | New | Exploit.HTML.CVE-2010-4452.bc |
11 | New | Trojan-Downloader.JS.Agent.gbj |
12 | New | Trojan-Downloader.JS.Agent.fzn |
13 | New | Trojan-Downloader.JS.Agent.gay |
14 | New | Trojan-Downloader.JS.Iframe.cfw |
15 | New | Trojan.JS.Iframe.tm |
16 | New | Exploit.JS.Pdfka.dyi |
17 | New | Exploit.JS.Pdfka.duj |
18 | New | Trojan-Ransom.JS.SMSer.id |
19 | New | Trojan-Downloader.JS.Agent.gaf |
20 | -1 | Hoax.Win32.Screensaver.b |
TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей
Позиция | Изменение позиции | Вредоносная программа |
1 | 0 | Net-Worm.Win32.Kido.ir |
2 | 2 | AdWare.Win32.FunWeb.kd |
3 | -1 | Virus.Win32.Sality.aa |
4 | -1 | Net-Worm.Win32.Kido.ih |
5 | 0 | Trojan.Win32.Starter.yy |
6 | 0 | Virus.Win32.Sality.bh |
7 | 1 | Virus.Win32.Sality.ag |
8 | -1 | Trojan-Downloader.Win32.Geral.cnh |
9 | 0 | HackTool.Win32.Kiser.il |
10 | Return | AdWare.Win32.HotBar.dh |
11 | 1 | Virus.Win32.Nimnul.a |
12 | -2 | Trojan-Downloader.Win32.FlyStudio.kx |
13 | 5 | Trojan.JS.Agent.bhr |
14 | 0 | Worm.Win32.FlyStudio.cu |
15 | 1 | Worm.Win32.Mabezat.b |
16 | -3 | HackTool.Win32.Kiser.zv |
17 | 0 | Hoax.Win32.Screensaver.b |
18 | 1 | Trojan-Downloader.Win32.VB.eql |
19 | -4 | Hoax.Win32.ArchSMS.pxm |
20 | New | Trojan-Downloader.SWF.Small.dj |
Помощь |
Задать вопрос | |
программы | |
обучение | |
экзамены | |
компьютеры | |
ICQ-консультанты | |
Skype-консультанты | |
Общая справка | |
Как оформить заказ | |
Тарифы доставки | |
Способы оплаты | |
Прайс-лист | |
Карта сайта | |
О нас |
Интернет-магазин ITShop.ru предлагает широкий спектр услуг информационных технологий и ПО. На протяжении многих лет интернет-магазин предлагает товары и услуги, ориентированные на бизнес-пользователей и специалистов по информационным технологиям. Хорошие отзывы постоянных клиентов и высокий уровень специалистов позволяет получить наивысший результат при совместной работе. Virus.Nimnul.Win32.2Virus.Nimnul.Win32.2 – вирус, заражающий exe, dll и Html файлы, а также открывающий злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (EXE файл). размер Методы распространенияТехническое описаниеПосле запуска вирус создает папку microsof, которая может располагаться в одной из следующих папок %System% После чего копирует туда свое тело под одним из случайных имён. Например: Для автозапуска, при каждом старте системы, вирус добавляет ключ реестра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\] В одной из папок создается конфигурационный файл вируса, под именем dmlconf.dat Например: После запуска вирус запускает браузер, и внедряется в его адресное пространство. Также вирус внедряется в память других системных процессов, таких как lsass.exe, svchost.exe и т.д. Наличие зараженных процессов в системе позволяет вирусу инфицировать exe и html файлы, а также противодействовать попыткам удалить его файлы из системы, или изменить записи в реестре. Для контроля своего процесса вирус создает уникальный идентификатор Mutex с именем “__PDH_PLA_MUTEX__”. Деструктивные возможностиПосле запуска вирус проверяет наличие сети Internet, обращаясь к серверу google.com, после чего создает соединение с сервером злоумышленников для получения команд управления. рекомендации по лечениюДля удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами. Virus win32 nimnul a что этоТроянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++. Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++. Троянская программа, которая без ведома пользователя устанавливает в системе другое вредоносное ПО. Является приложением Windows (PE-EXE файл). Имеет размер 10240 байт. Написана на С++. Троянская программа, загружающая файлы из сети Интернет без ведома пользователя и запускающая их. Является Java-классом (class-файл). Имеет размер 3775 байт. Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является Java-классом (class-файл). Имеет размер 3458 байт. Вредоносная программа, заражающая файлы на компьютере пользователя, и предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 62464 байта. Упакована UPX и неизвестным упаковщиком. Распакованный размер – около 75 КБ. Написана на C++. Копия вредоноса создается на всех доступных для записи съемных дисках, подключаемых к зараженному компьютеру, в каталоге: имя зараженного диска:/Recycler Также в корне диска создается файл имя зараженного диска:/autorun.inf обеспечивающий вредоносу возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник». После запуска вредонос для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем: Также проверяется имя исполняемого файла вредоноса. Если имя отлично от «DesktopLayer.exe«, тело вредоноса копируется в файл: после чего, запускается на выполнение. Также каталог «Microsoft», содержащий копию вредоноса, может создаваться в каталогах: %HOMEDRIVE% После запуска вредонос запускает браузер, установленный в системе по умолчанию, и внедряет в адресное пространство его процесса исполняемый код, реализующий весь деструктивный функционал. Внедряемый код реализует выполнение следующих действий: [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] Таким образом, копия будет запускаться процессом «WINLOGON.EXE» даже при запуске компьютера в «безопасном режиме». При заражении EXE и DLL файлов тело вируса дописывается в конец последней PE-секции целевого файла. При этом точка входа в программу изменяется таким образом, чтобы вирусное тело получало управление первым. HTM файлы заражаются путем дописывания в конец целевого файла скрипта следующего содержания: SCRIPT Language=VBScript!—DropFileName = «svchost.exe» Таким образом, при каждом запуске скрипта в каталоге хранения временных файлов текущего пользователя будет создаваться и запускаться на выполнение копия вредоноса: Зараженные HTML-страницы детектируются Антивирусом Касперского как «Trojan-Dropper.VBS.Agent.bp». По полученной от злоумышленника команде вредонос может выполнять следующие действия: Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: [HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] %Program Files%MicrosoftDesktopLayer.exe |
Новости |
17 сентября 2015 | Trend Micro: Китайские хакеры похитили «терабайты» данных у государственных и технокомпаний. Хакеры занимались хищением интеллектуальной собственности и стратегически важных документов. Согласно отчету ИБ-компании Trend Micro, берущая начало еще в 2010 году шпионская кампания, в рамках которой хакеры похищали данные государственных учреждений в Китае, на Филиппинах и Тибете, в 2013 году переключилась на технологические предприятия в США. |
17 сентября 2015 | F-Secure: Российские хакеры в течение семи лет шпионили за правительственными организациями. Хакеры использовали вредонос Dukes с целью хищения конфиденциальной информации. |
11 сентября 2015 | Обнаружено первое вредоносное ПО для Android, изменяющее PIN-код. Вредонос получает права администратора, деактивировать которые невозможно. |
11 сентября 2015 | Способный обходить CAPTCHA троян для Android распространяется через Google Play. Троян обходит CAPTCHA через перенаправление запросов на online-сервис Antigate.com. |
03 сентября 2015 | Эксперт: Windows показывает неполный список всех доверенных корневых сертификатов. Windows не предоставляет графический интерфейс для просмотра полного списка. |
03 сентября 2015 | Миллионы домашних маршрутизаторов подвержены уязвимости Filet-O-Firewall. Злоумышленники могут полностью скомпрометировать домашние сети миллионов пользователей. Как следует из бюллетеня безопасности, размещенного на сайте CERT/CC, миллионы домашних маршрутизаторов могут быть подвержены уязвимости Fillet-o-Firewall. |
24 августа 2015 | «Анонимный интернационал» опубликовал очередную порцию документов Минобороны РФ. Хакеры опубликовали документы в доказательство некомпетентности сотрудников министерства в области безопасности данных. Активисты из хакерской группировки «Анонимный интернационал», также известной как «Шалтай-Болтай», опубликовали очередную порцию документов, полученных в результате взлома электронной почты Ксении Большаковой, помощника и секретаря бывшего руководителя Департамента строительства Минобороны РФ Романа Филимонова. |
24 августа 2015 | Google и Internet Explorer попали в федеральный список экстремистских материалов. В перечень экстремистских материалов также попали «android_update» и «Kaspersky_antivirus». Google, кэш «Яндекса» и Internet Explorer попали в федеральный список экстремистских материалов, размещенный на сайте Министерства юстиции России. |
18 августа 2015 | Неудаляемые супер cookie-файлы продолжают использовать по всему миру На данный момент только компания AT&T прекратила использование супер cookie-файлов. По данным нового исследования, проведенного компанией по защите цифровых прав Access, как минимум 9 телекоммуникационных компаний по всему миру используют так называемые супер cookie-файлы для ведения контроля за online-действиями граждан. |
18 августа 2015 | Windows 10 отправляет данные Microsoft даже в случае отключения определенных функций. ОС отправляет данные на серверы Microsoft, даже если деактивировать Cortana и поиск в интернете. Как сообщают эксперты издания ARS Technica, Windows 10 отсылает информацию пользователей на серверы Microsoft даже в случае отключения функций, связанных со сбором и хранением персональных данных.
|