Trojan.VkSpam

Trojan.VkSpam - троянская программа предназначенная для массовой рассылки сообщений в социальной сети ВКонтакте.ру. Аналогичный троян был зафиксирован в начале мая текущего года. Поскольку синтаксис конфигурационных файлов этих вредоносных программ идентичен, можно предположить, что они созданы одним и тем же автором.

Распространение Trojan.VkSpam происходит благодаря спам-рассылкам на сайте ВКонтакте.ру. Как правило, пользователям предлагается принять участие в опросе и получить за это ценные призы, "голоса" или другие бонусы. Вредоносная программа маскируется под приложение, собирающее мнение участников опроса о нововведениях данной социальной сети, либо под программу для сбора статистики о посещении страницы пользователя ВКонтакте.ру. В обоих случаях троян демонстрирует на экране компьютера окно, предлагающее ввести в соответствующую форму логин и пароль учетной записи, якобы, для установки соответствующего приложения.

Подробнее...

 

Trojan.Winlock.3846

Trojan.Winlock.3846 - троян-вымогатель рассчитанный в первую очередь на зарубежную аудиторию.

Trojan.Winlock.3846 записывает ссылку на себя в разделе системного реестра:

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit

который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.

Подробнее...

 

Trojan.DownLoad2.29598

Описание
Trojan.DownLoad2.29598 - предназначен для скрытой загрузки и установки на зараженный компьютер вредоносных программ и драйверов. Троян использует алгоритмы защиты от анализа с помощью отладчика и запуска на виртуальных машинах.


Принцип работы
Запустившись на инфицированном компьютере, Trojan.DownLoad2.29598 прописывается в отвечающей за автозагрузку приложений ветке системного реестра, после чего выделяет для своих нужд оперативную память и копирует в нее необходимые для своего функционирования системные библиотеки. Т.е., троян обладает собственным загрузчиком библиотек, с помощью которого может успешно обходить перехваты, расставляемые используемым для обеспечения безопасности ПО.

Подробнее...

 

Анализ VBR-буткита Trojan.Mayachok.2

Trojan.Mayachok.2 - троян инфицирующий Volume Boot Record и нарушающий работу популярных браузеров.


Заражение системы
Перед началом атаки на инфицируемый компьютер дроппер вредоносной программы проверяет зараженность системы. Для этого на основе серийного номера системного раздела генерируется CLSID и проверяется его наличие в системном реестре: если в ветке

  • HKLM\Software\Classes\CLSID

отсутствует соответствующий раздел, то заражение продолжается.

В операционных системах Windows Vista и Windows 7 троян пытается повысить собственные права, т.е. постоянно перезапускает самого себя с запросом на повышение привилегий. Однако такой процесс можно завершить в "Диспетчере задач".

Подробнее...

 

Trojan.Janda модифицирующий MBR

Trojan.Jandav - троян вносящий изменения в главную загрузочную запись (Master Boot record, MBR) в ОС Windows.


Инсталляция
После своего запуска Trojan.Janda создает в папке установки Windows файл с именем

  • fxsst.dll

создавая "конкуренцию" загрузке аналогичного файла, расположенного в подпапке

  • %windir%\system32

и являющегося стандартной библиотекой легитимного модуля поддержки факсового сервиса (Fax Service).

Подробнее...