Wirusy na dzień 27.12.2010

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:00

Nazwa: Troj/Zbot-AIB
Typ: Trojan
Źródło: sophos

Działanie:
Wykryte pliki:
c:\Documents and Settings\test user\Application Data\Ywezwa\alza.exe
c:\Documents and Settings\test user\Application Data\Ybuxvu\foyhl.tmp

Utworzone klucze rejestru

Kod: Zaznacz cały

    * HKCU\Software\Microsoft\Internet Explorer\Privacy

      CleanCookies=
          0x00000000

    * HKCU\Software\Microsoft\Iqebu

      Umavsa=

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Run

      {AC8DE34E-CA96-91C3-1786-F112795C4141}
          "c:\Documents and Settings\test user\Application Data\Ywezwa\alza.exe"


Zmodyfikowane klucze rejestru

Kod: Zaznacz cały

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

      1609=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

      1609=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4

      1609=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2

      1609=
          0x00000000


Utworzone procesy

* c:\documents and settings\support\application data\ywezwa\alza.exe
* c:\windows\system32\cmd.exe

HTTP Requests

* Dostępne tylko dla zarejestrowanych użytkowników
* Dostępne tylko dla zarejestrowanych użytkowników

DNS Requests

* nisferylos.com
* sdlls.ru
* Dostępne tylko dla zarejestrowanych użytkowników
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:03

Nazwa: Troj/Zbot-AIA
Typ: Trojan
Źródło: sophos

Działanie:
Utworzone klucze rejestru:

Kod: Zaznacz cały

   * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4

      1409=
          0x00000003

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

      1409=
          0x00000003

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2

      1409=
          0x00000003

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

      1409=
          0x00000003

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

      ProxyHttp1.1=
          0x00000001

    * HKCU\Software\Microsoft\Internet Explorer\Recovery

      ClearBrowsingHistoryOnExit=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

      1409=
          0x00000003


Zmodyfikowane klucze rejestru:

Kod: Zaznacz cały

* HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4

      1406=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3

      1406=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

      1406=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

      WarnOnPost=
          00 00 00 00

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4

      1406=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

      1609=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1

      1406=
          0x00000000

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2

      1609=
          0x00000000


Utworzony proces:
c:\windowsxxx.exe\windowsxxx.exe

HTTP Requests

* Dostępne tylko dla zarejestrowanych użytkowników
* Dostępne tylko dla zarejestrowanych użytkowników

IP Connections

* 94.228.220.67:9933

DNS Requests

* my-trust.net
* web-trusts.com
* Dostępne tylko dla zarejestrowanych użytkowników
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:05

Nazwa: Troj/Inject-OU
Typ: Trojan
Źródło: sophos

Działanie:
Wykryty w pliku:
C:\sample

utworzony proces:
c:\windows\explorer.exe
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:07

Nazwa: Troj/FakeAV-CHN znany jako Trojan.Gen.2
Typ: Trojan
Źródło: sophos

Działanie:
Kopiuje siebie do

Kod: Zaznacz cały

   * c:\Documents and Settings\test user\Local Settings\Temp\htsmtrydp\ocbybkelajb.exe


Utworzone klucze:

Kod: Zaznacz cały

    * HKCU\Software\Microsoft\Internet Explorer\Download

      RunInvalidSignatures=
          0x00000001

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

      SaveZoneInformation=
          0x00000001

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Run

      cnxsskri=
          C:\DOCUME~1\support\LOCALS~1\Temp\htsmtrydp\ocbybkelajb.exe


Zmodyfikowane klucze:

Kod: Zaznacz cały

    * HKCU\Software\Microsoft\Internet Explorer\Download

      CheckExeSignatures=
          no

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

      LowRiskFileTypes=
          .exe


Utworzony proces

Kod: Zaznacz cały

    * c:\docume~1\support\locals~1\temp\htsmtrydp\ocbybkelajb.exe
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:09

Nazwa: Troj/FakeAV-CHM (TR/Crypt.ZPACK.Gen)
Typ: Trojan
Źródło: sophos
System: Windows

Działanie:
Skopiował siebie do

Kod: Zaznacz cały

  * c:\Documents and Settings\test user\Local Settings\Application Data\fvsxnshd.exe


Wykryty w:

Kod: Zaznacz cały

  * c:\Documents and Settings\test user\Start Menu\Programs\Security Shield.lnk


Utworzone procesy:

Kod: Zaznacz cały

    * c:\docume~1\support\locals~1\applic~1\fvsxnshd.exe
    * c:\windows\system32\cmd.exe
    * c:\windows\system32\ping.exe
    * c:\windows\system32\taskkill.exe

HTTP Requests

Kod: Zaznacz cały

 * http://94.63.246.14/cb_soft.php


IP Connections

Kod: Zaznacz cały

  * 94.63.246.14:80
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:11

Nazwa: Troj/FakeAV-CHM (TR/Crypt.ZPACK.Gen)
Typ: Trojan
Źródło: sophos
System: Windows

Działanie:
Skopiował siebie do:

Kod: Zaznacz cały

    * c:\Documents and Settings\test user\Local Settings\Application Data\fvsxnshd.exe


Wykryty w:

Kod: Zaznacz cały

    * c:\Documents and Settings\test user\Start Menu\Programs\Security Shield.lnk



Processes Created

Kod: Zaznacz cały

    * c:\docume~1\support\locals~1\applic~1\fvsxnshd.exe
    * c:\windows\system32\cmd.exe
    * c:\windows\system32\ping.exe
    * c:\windows\system32\taskkill.exe

HTTP Requests

Kod: Zaznacz cały

    * http://94.63.246.14/cb_soft.php


IP Connections

Kod: Zaznacz cały

    * 94.63.246.14:80
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:12

Nazwa: Troj/FakeAV-CHI
Typ: Trojan
Źródło: sophos
System: Windows

Działanie:
Tworzy proces:

Kod: Zaznacz cały

c:\windows\system32\cmd.exe
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Wirusy na dzień 27.12.2010

Post27 gru 2010, 23:23

Zainfekowane pliki wykryte na dziś dzień (wg latest-virus):
ibur.exe; icah.exe; evqi.exe; juzched.exe; zizuy.exe;
yzhuv.exe; upny.exe; esgoe.exe; apxod.exe; zizuy.exe; yzhuv.exe;
upny.exe; zuevu.exe; meic.exe; fyiqm.exe; addec.exe;
reol.exe; zoyf.exe; xylo.exe; disk doctor.exe; securitycenter.exe; desktop security.exe;
securitycenter.exe; desktop security 2010.exe; zizuy.exe; upilv.exe; naruc.exe;
igin.exe; evis.exe; esgoe.exe; resar.exe; ohyz.exe; bdepdf.exe;
zoyf.exe; taskmgr.dll; securityhelper.exe; securitycenter.exe; antivirus studio 2010.exe;
taskmgr.dll; securityhelper.exe; securitycenter.exe; antivirus_studio_2010.exe; antivirus 2010.exe; yqtum.exe;
oqsa.exe; xoex.exe; pyvo.exe; govy.exe; agerepadclock.dll;
Hotfix
Pozdrawiam, cosik_ktosik :)



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość