Описания вирусов

Backdoor.Win32.Bifrose.agq

Fri, 06 Mar 2026 13:52:21 +0300

Исполняемый файл размером 23 кб, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Пытается удалить файл WINDOWS\system32\server.exe
2. Копирует свой исполняемый файл под именем WINDOWS\system32\server.exe
3. Регистрирует свой файл в автозапуске (стандартный ключ реестра Run, параметр startkey)
4. Работает с ключом реестра SOFTWARE\Wget
5. Модифицирует память процесса explorer.exe, внедряя в его память троянский код, который затем запускается как удаленный поток
6. Завершает работу (после завершения работы происходит самоуничтожение исходного исполняемого, за эту операцию отвечает троянский поток)
Вредоносная программа не маскирует свое присутствие и ее удаление сводится к удалению WINDOWS\system32\server.exe и ключа реестра, применяемого для запуска данного процесса.

Trojan-Downloader.Win32.IstBar.pe

Fri, 06 Mar 2026 13:52:21 +0300

Данная вредоносная программа загружается на пораженный компьютер при помощи Trojan-Downloader.Win32.IstBar.er.
Выполняет следующие функции:
1. Соединяется с http://www.ysbweb.com и получает оттуда некоторую конфигурацию вида "0|0|0|RU|blocked:|"
2. С сайтов www.tbcode.com и ysbweb.com загружает ряд исполняемых файлов
3. Создает файл Program Files\ISTsvc\istsvc.exe и запускает его с параметром "0". После запуска istsvc.exe регистрирует себя в автозапуске.
4. Загружает из Интернет файл istrecover.exe и сохраняет под именем C:\WINDOWS\qjmeysa.exe
5. Запускает C:\WINDOWS\qjmeysa.exe. После запуска qjmeysa.exe регистрирует себя в автозапуске

Файл istsvc.exe является вредоносной программой Trojan-Downloader.Win32.IstBar.pd, файл qjmeysa.exe - Trojan-Downloader.Win32.IstBar.ij

Trojan-Proxy.Win32.Xorpix.v

Fri, 06 Mar 2026 13:52:21 +0300

Устанавливается в систему дроппером Trojan-Dropper.Win32.Small.aps. Размещается в папке C:\Documents and Settings\All Users\Документы\Settings\, имя файл - artm_new.dll, размер 19482 байта, у файл установлены атрибуты "скрытый" и "системный". Регистрируется как расширение Winlogon.
Данная троянская программа активно защищается от обнаружения и удаления:
1. При помощи монопольной блокировки ограничивается доступ к файлу artm_new.dll
2. Ключ реестра c регистрацией в качестве Winlogon расширения постоянно пересоздается, что делает бесполезным его удаление через редактор реестра или менеджеры автозапуска

Удаление вручную
1. Закрыть все запущенные приложения
2. Запустить AVZ, активировать AVZ Guard.
3. Зайти в менеджер автозапуска AVZ, найти элемент Winlogon, ссылающийся на artm_new.dll и удалить его. Это операция может не потребоваться, т.к. в результате работы AVZ Guard на изученном образце происходит самоуничтожение ключа в результате попытки его пересоздания
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
5. После перезагрузки найти и удалить artm_new.dll. Эту операцию в принципе можно сделать и после шага 3 - при помощи отложенного удаления

Trojan-Dropper.Win32.Small.aps

Fri, 06 Mar 2026 13:52:21 +0300

В результате деятельности данного дроппера в систему устанавливается файл C:\Documents and Settings\All Users\Документы\Settings\artm_new.dll размером 19482 байта, который регистрируется как расширение Winlogon. Файл artm_new.dll является вредоносной программой Trojan-Proxy.Win32.Xorpix.v

Trojan-Clicker.Win32.Agent.ac

Fri, 06 Mar 2026 13:52:21 +0300

Данная троянская программа открывает в браузере страницы сайтов (в частности, 540.filost.com и www7.logih.com) без желания пользователя.

Hoax.Win32.GoldFake.a

Fri, 06 Mar 2026 13:52:21 +0300

Маскируется под "E-Gold ServicePack Installation"

Trojan-Spy.Win32.Perfloger.f

Fri, 06 Mar 2026 13:52:21 +0300

Коммерческое название данной программы - Perfect Keylogger 1.6. Назначение - кейлоггер с расширенными функциями

Trojan-PSW.Linage.e

Fri, 06 Mar 2026 13:52:21 +0300

Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт.

Trojan-PSW.Win32.Hapday

Fri, 06 Mar 2026 13:52:21 +0300

Троянская программа, передающая пароли и маскирующая под поздравление.

Worm.Win32.Banwor.a

Fri, 06 Mar 2026 13:52:21 +0300

Worm.Win32.Banwor.a - червь, состоящий из состоит из четырех файлов

Email-Worm.Win32.Rays

Fri, 06 Mar 2026 13:52:21 +0300

Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.

Trojan-PSW.Win32.LdPinch.pq

Fri, 06 Mar 2026 13:52:21 +0300

Троянская программа, распространяемая под видом WEB открытки

Trojan-Proxy.Win32.Lager.ab

Fri, 06 Mar 2026 13:52:21 +0300

Trojan-Proxy.Win32.Lager.ab интересен тем, что его файлы сжаты криптером/пакером, и файл на WEB сервере постоянно переупаковывается, т.е. в случае повторной загрузки вредоносной программы его исполняемые файлы существенно различаются.

Worm.Win32.Feebs

Fri, 06 Mar 2026 13:52:21 +0300

Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что делает данныого червя достаточно опасным. Первой особенностью является наличие "на борту" червя достоточно мощного UserMode руткита.

Hoax.Win32.Renos.a-b

Fri, 06 Mar 2026 13:52:21 +0300

Файл данного Hoax именуется winlogon.exe, размер - 24064 байта, ничем не сжат.
В момент запуска проводит скрытный обен с сервером 69.50.166.196-custblock.intercage.com, откуда качает и инсталлирует программу SpywareNo объемом около 900 кб и прописывает ее в автозапуск.

Hoax.Win32.Avgold.h

Fri, 06 Mar 2026 13:52:21 +0300

Hoax.Win32.Avgold является типовым представителем семейства Hoax

Trojan.Win32.KillAV.ee

Fri, 06 Mar 2026 13:52:21 +0300

Trojan.Win32.KillAV.ee является типичным предствителем семейства KillAV - троянов, убивающих антивирусное ПО.

Trojan.Win32.LowZones.y

Fri, 06 Mar 2026 13:52:21 +0300

Trojan.Win32.LowZones.y является типичным представителем категории "LowZones", постоянно выходят его новые разновидности. Типичный размер - 7-8 кб, как правило сжат UPX. Наиболее распространеннное имя файла - tool.exe.

Trojan.Win32.Agent.fc

Fri, 06 Mar 2026 13:52:21 +0300

Trojan.Win32.Agent.fc состоит из двух компонент: jaaste.dll, является DLL файлом, 3072 байта размером, сжат UPX, распакованный размер 4096 байта.

Trojan-Dropper.VBS.Inor.cq

Fri, 06 Mar 2026 13:52:21 +0300

Trojan-Dropper.VBS.Inor.cq является классическим представителем категории Trojan-Dropper.
Он представляет собой html файл размером около 18 кб, содержащий скрипт на языке VBScript.