TR/Rkit.Bagle.GL - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Rkit.Bagle.GL
Обнаружен:	30/06/2006
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	38.912 байт.
Контрольная сумма MD5:	4d985cc3b434828088f380225d118fca
Версия VDF:	6.35.00.98
Версия IVDF:	6.35.00.124

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: NTRootKit-W
   • Eset: Win32/Bagle.HB

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Снижает уровень настроек безопасности

Файлы Удаляются следующие файлы:
   • %текущая папка%\kavsvc.exe
   • %текущая папка%\bdmcon.exe
   • %текущая папка%\vsserv.exe
   • %текущая папка%\bdnews.exe
   • %текущая папка%\livesrv.exe
   • %текущая папка%\mcupdate.exe
   • %текущая папка%\frameworkservice.exe
   • %текущая папка%\upgrader.exe
   • %текущая папка%\apvxdwin.exe
   • %текущая папка%\LuComServer_2_5.EXE
   • %текущая папка%\lucomserver_2_6.exe
   • %текущая папка%\drwebupw.exe
   • %текущая папка%\nod32krn.exe
   • %текущая папка%\a2guard.exe
   • %текущая папка%\aavshield.exe
   • %текущая папка%\AckWin32.exe
   • %текущая папка%\ADVCHK.EXE
   • %текущая папка%\AhnSD.exe
   • %текущая папка%\airdefense.exe
   • %текущая папка%\ALERTSVC.EXE
   • %текущая папка%\ALMon.exe
   • %текущая папка%\ALOGSERV.EXE
   • %текущая папка%\ALsvc.exe
   • %текущая папка%\amon.exe
   • %текущая папка%\Anti-Trojan.exe
   • %текущая папка%\AntiVirScheduler
   • %текущая папка%\AntiVirService
   • %текущая папка%\ANTS.EXE
   • %текущая папка%\APVXDWIN.EXE
   • %текущая папка%\Armor2net.exe
   • %текущая папка%\ashAvast.exe
   • %текущая папка%\ashDisp.exe
   • %текущая папка%\ashEnhcd.exe
   • %текущая папка%\ashMaiSv.exe
   • %текущая папка%\ashPopWz.exe
   • %текущая папка%\ashServ.exe
   • %текущая папка%\ashSimpl.exe
   • %текущая папка%\ashSkPck.exe
   • %текущая папка%\ashWebSv.exe
   • %текущая папка%\aswUpdSv.exe
   • %текущая папка%\ATCON.EXE
   • %текущая папка%\ATUPDATER.EXE
   • %текущая папка%\ATWATCH.EXE
   • %текущая папка%\AUPDATE.EXE
   • %текущая папка%\AUTODOWN.EXE
   • %текущая папка%\AUTOTRACE.EXE
   • %текущая папка%\AUTOUPDATE.EXE
   • %текущая папка%\avciman.exe
   • %текущая папка%\Avconsol.exe
   • %текущая папка%\AVENGINE.EXE
   • %текущая папка%\avgamsvr.exe
   • %текущая папка%\avgcc.exe
   • %текущая папка%\AVGCC32.EXE
   • %текущая папка%\AVGCTRL.EXE
   • %текущая папка%\avgemc.exe
   • %текущая папка%\avgfwsrv.exe
   • %текущая папка%\AVGNT.EXE
   • %текущая папка%\avgntdd
   • %текущая папка%\avgntmgr
   • %текущая папка%\AVGSERV.EXE
   • %текущая папка%\AVGUARD.EXE
   • %текущая папка%\avgupsvc.exe
   • %текущая папка%\avinitnt.exe
   • %текущая папка%\AvkServ.exe
   • %текущая папка%\AVKService.exe
   • %текущая папка%\AVKWCtl.exe
   • %текущая папка%\AVP.EXE
   • %текущая папка%\AVP32.EXE
   • %текущая папка%\avpcc.exe
   • %текущая папка%\avpm.exe
   • %текущая папка%\AVPUPD.EXE
   • %текущая папка%\AVSCHED32.EXE
   • %текущая папка%\avsynmgr.exe
   • %текущая папка%\AVWUPD32.EXE
   • %текущая папка%\AVWUPSRV.EXE
   • %текущая папка%\AVXMONITOR9X.EXE
   • %текущая папка%\AVXMONITORNT.EXE
   • %текущая папка%\AVXQUAR.EXE
   • %текущая папка%\BackWeb-4476822.exe
   • %текущая папка%\bdmcon.exe
   • %текущая папка%\bdss.exe
   • %текущая папка%\bdsubmit.exe
   • %текущая папка%\bdswitch.exe
   • %текущая папка%\blackd.exe
   • %текущая папка%\blackice.exe
   • %текущая папка%\cafix.exe
   • %текущая папка%\ccApp.exe
   • %текущая папка%\ccEvtMgr.exe
   • %текущая папка%\ccProxy.exe
   • %текущая папка%\ccSetMgr.exe
   • %текущая папка%\CFIAUDIT.EXE
   • %текущая папка%\ClamTray.exe
   • %текущая папка%\ClamWin.exe
   • %текущая папка%\Claw95.exe
   • %текущая папка%\Claw95cf.exe
   • %текущая папка%\cleaner.exe
   • %текущая папка%\cleaner3.exe
   • %текущая папка%\CliSvc.exe
   • %текущая папка%\CMGrdian.exe
   • %текущая папка%\cpd.exe
   • %текущая папка%\DefWatch.exe
   • %текущая папка%\DOORS.EXE
   • %текущая папка%\DrVirus.exe
   • %текущая папка%\drwadins.exe
   • %текущая папка%\drweb32w.exe
   • %текущая папка%\drwebscd.exe
   • %текущая папка%\DRWEBUPW.EXE
   • %текущая папка%\ESCANH95.EXE
   • %текущая папка%\ESCANHNT.EXE
   • %текущая папка%\ewidoctrl.exe
   • %текущая папка%\EzAntivirusRegistrationCheck.exe
   • %текущая папка%\F-AGNT95.EXE
   • %текущая папка%\F-PROT95.EXE
   • %текущая папка%\F-Sched.exe
   • %текущая папка%\F-StopW.EXE
   • %текущая папка%\FAMEH32.EXE
   • %текущая папка%\FAST.EXE
   • %текущая папка%\FCH32.EXE
   • %текущая папка%\FireSvc.exe
   • %текущая папка%\FireTray.exe
   • %текущая папка%\FIREWALL.EXE
   • %текущая папка%\fpavupdm.exe
   • %текущая папка%\freshclam.exe
   • %текущая папка%\FRW.EXE
   • %текущая папка%\fsav32.exe
   • %текущая папка%\fsavgui.exe
   • %текущая папка%\fsbwsys.exe
   • %текущая папка%\fsdfwd.exe
   • %текущая папка%\FSGK32.EXE
   • %текущая папка%\fsgk32st.exe
   • %текущая папка%\fsguiexe.exe
   • %текущая папка%\FSM32.EXE
   • %текущая папка%\FSMA32.EXE
   • %текущая папка%\FSMB32.EXE
   • %текущая папка%\fspex.exe
   • %текущая папка%\fssm32.exe
   • %текущая папка%\gcasDtServ.exe
   • %текущая папка%\gcasServ.exe
   • %текущая папка%\GIANTAntiSpywareMain.exe
   • %текущая папка%\GIANTAntiSpywareUpdater.exe
   • %текущая папка%\GUARD.EXE
   • %текущая папка%\GUARDGUI.EXE
   • %текущая папка%\GuardNT.exe
   • %текущая папка%\HRegMon.exe
   • %текущая папка%\Hrres.exe
   • %текущая папка%\HSockPE.exe
   • %текущая папка%\HUpdate.EXE
   • %текущая папка%\iamapp.exe
   • %текущая папка%\iamserv.exe
   • %текущая папка%\ICLOAD95.EXE
   • %текущая папка%\ICLOADNT.EXE
   • %текущая папка%\ICMON.EXE
   • %текущая папка%\ICSSUPPNT.EXE
   • %текущая папка%\ICSUPP95.EXE
   • %текущая папка%\ICSUPPNT.EXE
   • %текущая папка%\IFACE.EXE
   • %текущая папка%\INETUPD.EXE
   • %текущая папка%\InocIT.exe
   • %текущая папка%\InoRpc.exe
   • %текущая папка%\InoRT.exe
   • %текущая папка%\InoTask.exe
   • %текущая папка%\InoUpTNG.exe
   • %текущая папка%\IOMON98.EXE
   • %текущая папка%\isafe.exe
   • %текущая папка%\ISATRAY.EXE
   • %текущая папка%\ISRV95.EXE
   • %текущая папка%\ISSVC.exe
   • %текущая папка%\JEDI.EXE
   • %текущая папка%\KAV.exe
   • %текущая папка%\kavmm.exe
   • %текущая папка%\KAVPF.exe
   • %текущая папка%\KavPFW.exe
   • %текущая папка%\KAVStart.exe
   • %текущая папка%\KAVSvc.exe
   • %текущая папка%\KAVSvcUI.EXE
   • %текущая папка%\KMailMon.EXE
   • %текущая папка%\KPfwSvc.EXE
   • %текущая папка%\KWatch.EXE
   • %текущая папка%\livesrv.exe
   • %текущая папка%\LOCKDOWN2000.EXE
   • %текущая папка%\LogWatNT.exe
   • %текущая папка%\lpfw.exe
   • %текущая папка%\LUALL.EXE
   • %текущая папка%\LUCOMSERVER.EXE
   • %текущая папка%\Luupdate.exe
   • %текущая папка%\MCAGENT.EXE
   • %текущая папка%\mcmnhdlr.exe
   • %текущая папка%\mcregwiz.exe
   • %текущая папка%\Mcshield.exe
   • %текущая папка%\MCUPDATE.EXE
   • %текущая папка%\mcvsshld.exe
   • %текущая папка%\MINILOG.EXE
   • %текущая папка%\MONITOR.EXE
   • %текущая папка%\MonSysNT.exe
   • %текущая папка%\MOOLIVE.EXE
   • %текущая папка%\MpEng.exe
   • %текущая папка%\mpssvc.exe
   • %текущая папка%\MSMPSVC.exe
   • %текущая папка%\myAgtSvc.exe
   • %текущая папка%\myagttry.exe
   • %текущая папка%\navapsvc.exe
   • %текущая папка%\NAVAPW32.EXE
   • %текущая папка%\NavLu32.exe
   • %текущая папка%\NAVW32.EXE
   • %текущая папка%\NDD32.EXE
   • %текущая папка%\NeoWatchLog.exe
   • %текущая папка%\NeoWatchTray.exe
   • %текущая папка%\NISSERV
   • %текущая папка%\NISUM.EXE
   • %текущая папка%\NMAIN.EXE
   • %текущая папка%\nod32.exe
   • %текущая папка%\nod32krn.exe
   • %текущая папка%\nod32kui.exe
   • %текущая папка%\NORMIST.EXE
   • %текущая папка%\notstart.exe
   • %текущая папка%\npavtray.exe
   • %текущая папка%\NPFMNTOR.EXE
   • %текущая папка%\npfmsg.exe
   • %текущая папка%\NPROTECT.EXE
   • %текущая папка%\NSCHED32.EXE
   • %текущая папка%\NSMdtr.exe
   • %текущая папка%\NssServ.exe
   • %текущая папка%\NssTray.exe
   • %текущая папка%\ntrtscan.exe
   • %текущая папка%\NTXconfig.exe
   • %текущая папка%\NUPGRADE.EXE
   • %текущая папка%\NVC95.EXE
   • %текущая папка%\Nvcod.exe
   • %текущая папка%\Nvcte.exe
   • %текущая папка%\Nvcut.exe
   • %текущая папка%\NWService.exe
   • %текущая папка%\OfcPfwSvc.exe
   • %текущая папка%\OUTPOST.EXE
   • %текущая папка%\PAV.EXE
   • %текущая папка%\PavFires.exe
   • %текущая папка%\PavFnSvr.exe
   • %текущая папка%\Pavkre.exe
   • %текущая папка%\PavProt.exe
   • %текущая папка%\pavProxy.exe
   • %текущая папка%\pavprsrv.exe
   • %текущая папка%\pavsrv51.exe
   • %текущая папка%\PAVSS.EXE
   • %текущая папка%\pccguide.exe
   • %текущая папка%\PCCIOMON.EXE
   • %текущая папка%\pccntmon.exe
   • %текущая папка%\PCCPFW.exe
   • %текущая папка%\PcCtlCom.exe
   • %текущая папка%\PCTAV.exe
   • %текущая папка%\PERSFW.EXE
   • %текущая папка%\pertsk.exe
   • %текущая папка%\PERVAC.EXE
   • %текущая папка%\PNMSRV.EXE
   • %текущая папка%\POP3TRAP.EXE
   • %текущая папка%\POPROXY.EXE
   • %текущая папка%\prevsrv.exe
   • %текущая папка%\PsImSvc.exe
   • %текущая папка%\QHM32.EXE
   • %текущая папка%\QHONLINE.EXE
   • %текущая папка%\QHONSVC.EXE
   • %текущая папка%\QHPF.EXE
   • %текущая папка%\qhwscsvc.exe
   • %текущая папка%\RavMon.exe
   • %текущая папка%\RavTimer.exe
   • %текущая папка%\Realmon.exe
   • %текущая папка%\REALMON95.EXE
   • %текущая папка%\Rescue.exe
   • %текущая папка%\rfwmain.exe
   • %текущая папка%\Rtvscan.exe
   • %текущая папка%\RTVSCN95.EXE
   • %текущая папка%\RuLaunch.exe
   • %текущая папка%\SAVAdminService.exe
   • %текущая папка%\SAVMain.exe
   • %текущая папка%\savprogress.exe
   • %текущая папка%\SAVScan.exe
   • %текущая папка%\SCAN32.EXE
   • %текущая папка%\ScanningProcess.exe
   • %текущая папка%\sched.exe
   • %текущая папка%\sdhelp.exe
   • %текущая папка%\SERVIC~1.EXE
   • %текущая папка%\SHSTAT.EXE
   • %текущая папка%\SiteCli.exe
   • %текущая папка%\smc.exe
   • %текущая папка%\SNDSrvc.exe
   • %текущая папка%\SPBBCSvc.exe
   • %текущая папка%\SPHINX.EXE
   • %текущая папка%\spiderml.exe
   • %текущая папка%\spidernt.exe
   • %текущая папка%\Spiderui.exe
   • %текущая папка%\SpybotSD.exe
   • %текущая папка%\SPYXX.EXE
   • %текущая папка%\SS3EDIT.EXE
   • %текущая папка%\stopsignav.exe
   • %текущая папка%\swAgent.exe
   • %текущая папка%\swdoctor.exe
   • %текущая папка%\SWNETSUP.EXE
   • %текущая папка%\symlcsvc.exe
   • %текущая папка%\SymProxySvc.exe
   • %текущая папка%\SymSPort.exe
   • %текущая папка%\SymWSC.exe
   • %текущая папка%\SYNMGR.EXE
   • %текущая папка%\TAUMON.EXE
   • %текущая папка%\TBMon.exe
   • %текущая папка%\TC.EXE
   • %текущая папка%\tca.exe
   • %текущая папка%\TCM.EXE
   • %текущая папка%\TDS-3.EXE
   • %текущая папка%\TeaTimer.exe
   • %текущая папка%\TFAK.EXE
   • %текущая папка%\THAV.EXE
   • %текущая папка%\THSM.EXE
   • %текущая папка%\Tmas.exe
   • %текущая папка%\tmlisten.exe
   • %текущая папка%\Tmntsrv.exe
   • %текущая папка%\TmPfw.exe
   • %текущая папка%\tmproxy.exe
   • %текущая папка%\TNBUtil.exe
   • %текущая папка%\TRJSCAN.EXE
   • %текущая папка%\Up2Date.exe
   • %текущая папка%\UPDATE.EXE
   • %текущая папка%\UpdaterUI.exe
   • %текущая папка%\upgrepl.exe
   • %текущая папка%\Vba32ECM.exe
   • %текущая папка%\Vba32ifs.exe
   • %текущая папка%\vba32ldr.exe
   • %текущая папка%\Vba32PP3.exe
   • %текущая папка%\VBSNTW.exe
   • %текущая папка%\vchk.exe
   • %текущая папка%\vcrmon.exe
   • %текущая папка%\vrmonsvc.exe
   • %текущая папка%\vrrw32.exe
   • %текущая папка%\VSECOMR.EXE
   • %текущая папка%\Vshwin32.exe
   • %текущая папка%\vsmon.exe
   • %текущая папка%\vsserv.exe
   • %текущая папка%\VsStat.exe
   • %текущая папка%\WATCHDOG.EXE
   • %текущая папка%\WebProxy.exe
   • %текущая папка%\Webscanx.exe
   • %текущая папка%\VetTray.exe
   • %текущая папка%\VirusKeeper.exe
   • %текущая папка%\VPTRAY.EXE
   • %текущая папка%\vrfwsvc.exe
   • %текущая папка%\VRMONNT.EXE
   • %текущая папка%\hidn1.exe
   • %текущая папка%\hidn1.exe
   • %текущая папка%\WEBTRAP.EXE
   • %текущая папка%\WGFE95.EXE
   • %текущая папка%\Winaw32.exe
   • %текущая папка%\winroute.exe
   • %текущая папка%\winss.exe
   • %текущая папка%\winssnotify.exe
   • %текущая папка%\WRADMIN.EXE
   • %текущая папка%\WRCTRL.EXE
   • %текущая папка%\xcommsvr.exe
   • %текущая папка%\zatutor.exe
   • %текущая папка%\ZAUINST.EXE
   • %текущая папка%\zlclient.exe
   • %текущая папка%\zonealarm.exe
   • %текущая папка%\_AVP32.EXE
   • %текущая папка%\_AVPCC.EXE
   • %текущая папка%\_AVPM.EXE
   • %текущая папка%\bdoesrv.exe
   • %текущая папка%\bdnews.exe
   • %текущая папка%\hidn.exe
   • %текущая папка%\hidn1.exe

Завершение процесса Список завершаемых процессов:
   • kavsvc.exe; bdmcon.exe; vsserv.exe; bdnews.exe; livesrv.exe;
      mcupdate.exe; frameworkservice.exe; upgrader.exe; apvxdwin.exe;
      LuComServer_2_5.EXE; lucomserver_2_6.exe; drwebupw.exe; nod32krn.exe;
      a2guard.exe; aavshield.exe; AckWin32.exe; ADVCHK.EXE; AhnSD.exe;
      airdefense.exe; ALERTSVC.EXE; ALMon.exe; ALOGSERV.EXE; ALsvc.exe;
      amon.exe; Anti-Trojan.exe; AntiVirScheduler; AntiVirService; ANTS.EXE;
      APVXDWIN.EXE; Armor2net.exe; ashAvast.exe; ashDisp.exe; ashEnhcd.exe;
      ashMaiSv.exe; ashPopWz.exe; ashServ.exe; ashSimpl.exe; ashSkPck.exe;
      ashWebSv.exe; aswUpdSv.exe; ATCON.EXE; ATUPDATER.EXE; ATWATCH.EXE;
      AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; avciman.exe;
      Avconsol.exe; AVENGINE.EXE; avgamsvr.exe; avgcc.exe; AVGCC32.EXE;
      AVGCTRL.EXE; avgemc.exe; avgfwsrv.exe; AVGNT.EXE; avgntdd; avgntmgr;
      AVGSERV.EXE; AVGUARD.EXE; avgupsvc.exe; avinitnt.exe; AvkServ.exe;
      AVKService.exe; AVKWCtl.exe; AVP.EXE; AVP32.EXE; avpcc.exe; avpm.exe;
      AVPUPD.EXE; AVSCHED32.EXE; avsynmgr.exe; AVWUPD32.EXE; AVWUPSRV.EXE;
      AVXMONITOR9X.EXE; AVXMONITORNT.EXE; AVXQUAR.EXE; BackWeb-4476822.exe;
      bdmcon.exe; bdss.exe; bdsubmit.exe; bdswitch.exe; blackd.exe;
      blackice.exe; cafix.exe; ccApp.exe; ccEvtMgr.exe; ccProxy.exe;
      ccSetMgr.exe; CFIAUDIT.EXE; ClamTray.exe; ClamWin.exe; Claw95.exe;
      Claw95cf.exe; cleaner.exe; cleaner3.exe; CliSvc.exe; CMGrdian.exe;
      cpd.exe; DefWatch.exe; DOORS.EXE; DrVirus.exe; drwadins.exe;
      drweb32w.exe; drwebscd.exe; DRWEBUPW.EXE; ESCANH95.EXE; ESCANHNT.EXE;
      ewidoctrl.exe; EzAntivirusRegistrationCheck.exe; F-AGNT95.EXE;
      F-PROT95.EXE; F-Sched.exe; F-StopW.EXE; FAMEH32.EXE; FAST.EXE;
      FCH32.EXE; FireSvc.exe; FireTray.exe; FIREWALL.EXE; fpavupdm.exe;
      freshclam.exe; FRW.EXE; fsav32.exe; fsavgui.exe; fsbwsys.exe;
      fsdfwd.exe; FSGK32.EXE; fsgk32st.exe; fsguiexe.exe; FSM32.EXE;
      FSMA32.EXE; FSMB32.EXE; fspex.exe; fssm32.exe; gcasDtServ.exe;
      gcasServ.exe; GIANTAntiSpywareMain.exe; GIANTAntiSpywareUpdater.exe;
      GUARD.EXE; GUARDGUI.EXE; GuardNT.exe; HRegMon.exe; Hrres.exe;
      HSockPE.exe; HUpdate.EXE; iamapp.exe; iamserv.exe; ICLOAD95.EXE;
      ICLOADNT.EXE; ICMON.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ICSUPPNT.EXE;
      IFACE.EXE; INETUPD.EXE; InocIT.exe; InoRpc.exe; InoRT.exe;
      InoTask.exe; InoUpTNG.exe; IOMON98.EXE; isafe.exe; ISATRAY.EXE;
      ISRV95.EXE; ISSVC.exe; JEDI.EXE; KAV.exe; kavmm.exe; KAVPF.exe;
      KavPFW.exe; KAVStart.exe; KAVSvc.exe; KAVSvcUI.EXE; KMailMon.EXE;
      KPfwSvc.EXE; KWatch.EXE; livesrv.exe; LOCKDOWN2000.EXE; LogWatNT.exe;
      lpfw.exe; LUALL.EXE; LUCOMSERVER.EXE; Luupdate.exe; MCAGENT.EXE;
      mcmnhdlr.exe; mcregwiz.exe; Mcshield.exe; MCUPDATE.EXE; mcvsshld.exe;
      MINILOG.EXE; MONITOR.EXE; MonSysNT.exe; MOOLIVE.EXE; MpEng.exe;
      mpssvc.exe; MSMPSVC.exe; myAgtSvc.exe; myagttry.exe; navapsvc.exe;
      NAVAPW32.EXE; NavLu32.exe; NAVW32.EXE; NDD32.EXE; NeoWatchLog.exe;
      NeoWatchTray.exe; NISSERV; NISUM.EXE; NMAIN.EXE; nod32.exe;
      nod32krn.exe; nod32kui.exe; NORMIST.EXE; notstart.exe; npavtray.exe;
      NPFMNTOR.EXE; npfmsg.exe; NPROTECT.EXE; NSCHED32.EXE; NSMdtr.exe;
      NssServ.exe; NssTray.exe; ntrtscan.exe; NTXconfig.exe; NUPGRADE.EXE;
      NVC95.EXE; Nvcod.exe; Nvcte.exe; Nvcut.exe; NWService.exe;
      OfcPfwSvc.exe; OUTPOST.EXE; PAV.EXE; PavFires.exe; PavFnSvr.exe;
      Pavkre.exe; PavProt.exe; pavProxy.exe; pavprsrv.exe; pavsrv51.exe;
      PAVSS.EXE; pccguide.exe; PCCIOMON.EXE; pccntmon.exe; PCCPFW.exe;
      PcCtlCom.exe; PCTAV.exe; PERSFW.EXE; pertsk.exe; PERVAC.EXE;
      PNMSRV.EXE; POP3TRAP.EXE; POPROXY.EXE; prevsrv.exe; PsImSvc.exe;
      QHM32.EXE; QHONLINE.EXE; QHONSVC.EXE; QHPF.EXE; qhwscsvc.exe;
      RavMon.exe; RavTimer.exe; Realmon.exe; REALMON95.EXE; Rescue.exe;
      rfwmain.exe; Rtvscan.exe; RTVSCN95.EXE; RuLaunch.exe;
      SAVAdminService.exe; SAVMain.exe; savprogress.exe; SAVScan.exe;
      SCAN32.EXE; ScanningProcess.exe; sched.exe; sdhelp.exe; SERVIC~1.EXE;
      SHSTAT.EXE; SiteCli.exe; smc.exe; SNDSrvc.exe; SPBBCSvc.exe;
      SPHINX.EXE; spiderml.exe; spidernt.exe; Spiderui.exe; SpybotSD.exe;
      SPYXX.EXE; SS3EDIT.EXE; stopsignav.exe; swAgent.exe; swdoctor.exe;
      SWNETSUP.EXE; symlcsvc.exe; SymProxySvc.exe; SymSPort.exe; SymWSC.exe;
      SYNMGR.EXE; TAUMON.EXE; TBMon.exe; TC.EXE; tca.exe; TCM.EXE;
      TDS-3.EXE; TeaTimer.exe; TFAK.EXE; THAV.EXE; THSM.EXE; Tmas.exe;
      tmlisten.exe; Tmntsrv.exe; TmPfw.exe; tmproxy.exe; TNBUtil.exe;
      TRJSCAN.EXE; Up2Date.exe; UPDATE.EXE; UpdaterUI.exe; upgrepl.exe;
      Vba32ECM.exe; Vba32ifs.exe; vba32ldr.exe; Vba32PP3.exe; VBSNTW.exe;
      vchk.exe; vcrmon.exe; vrmonsvc.exe; vrrw32.exe; VSECOMR.EXE;
      Vshwin32.exe; vsmon.exe; vsserv.exe; VsStat.exe; WATCHDOG.EXE;
      WebProxy.exe; Webscanx.exe; VetTray.exe; VirusKeeper.exe; VPTRAY.EXE;
      vrfwsvc.exe; VRMONNT.EXE; hidn1.exe; hidn1.exe; WEBTRAP.EXE;
      WGFE95.EXE; Winaw32.exe; winroute.exe; winss.exe; winssnotify.exe;
      WRADMIN.EXE; WRCTRL.EXE; xcommsvr.exe; zatutor.exe; ZAUINST.EXE;
      zlclient.exe; zonealarm.exe; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE;
      bdoesrv.exe; bdnews.exe

Список завершаемых служб:
   • AntiVirService
   • AntiVirScheduler
   • avgntmgr
   • avgntdd
   • NISSERV

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Скрывает следующее:

– Следующие файлы:
   • m_hook.sys
   • hidr.exe
   • hidn2.exe
   • wintems.exe
   • hldrrr.exe
   • ldr64.dll

– Следующие процессы:
   • hidr.exe
   • hidn2.exe
   • flec006.exe
   • wintems.exe
   • hldrrr.exe
   • mdelk.exe

– Следующие ключи реестра:
   • nkeyjej1
   • nkeyjej2

– Следующие значения реестра:
   • german.exe
   • drvsyskit
   • hldrrr
   • mule_st_key
   • drv_st_key
   • key000s04
   • key000s05

– Следующие директории:
   • shared
   • hidn
   • hidires

Используемый метод:
    • Невидимый из Windows API

Внедряется в следующие API-функции:
   • NtCreateFile/ZwCreateFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryKey/ZwQueryKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtlGetNativeSystemInformation/ZwQuerySystemInformation

Краткое описание см. здесь.

Описание добавлено: Adriana Popa Mon, 04 Dec 2006 13:09 (GMT+1)
Описание обновлено: Adriana Popa Tue, 05 Dec 2006 13:05 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back