TrojanDownloader:Win32/Bredolab
Бұл вирус сіздің компьютеріңізге жалған antivirus програм бойынша отырып шабуылға ұшыраған компьютердің құпия сөзін ұрдайды.
Бұл Trojan програм/бағдарламасы/ UPS, Western union, Facebook-тен келген хаттар тәрізді келбетін өзгертіп (Төменгі суреттен көріңіз) “Facebook Password reset confirmation”, “UPS invoice”,” Western Union transfer is available for withdraw” деген сияқты тақырыптармен келеді.
Немесе Exploit:Win32/Pdfjsc –пен жалғасып сақталады. zip-қорапты ашқан кезде 36-40kb көлеміндегі Excel, Word-ның icon-дарына ұқсас файлдар болады.
Яғни ол үнемі атын өзгертіп нақты айтқанда svchost.exe, explorer.exe сияқты іс әрекеттерге өзін біріктіріп firewall-ды айналып шығады.
Бұл вирусты Antivirus програмалармен тексергенде:
* Backdoor.Win32.Bredolab.ou(Kaspersky)
* TROJ_BREDOLAB.J(TrendMicro)
* Trojan-Downloader.Win32.Bredolab(Ikarus)
* Trojan-Downloader:W32/Bredolab.ED(F-Secure)
* Trojan.Bredload.gen(Mc Afee)
деген аттармен ұсталады.
Win32/Bredloab –ның түрлері төменгі іс әрекеттерді жасайды:
Төменгі файлдарды пайда болдырады:
* \digeste.dll
* \digiwet.dll
* \mcenspc.dll
* \msansspc.dll
* %startup%\asgupd32.exe
* %startup%\dfqupd32.exe
* %startup%\dmaupd32.exe
* %startup%\fmnupd32.exe
* %startup%\ihaupd32.exe
* %startup%\imiupd32.exe
* %startup%\legupd32.exe
* %startup%\ppqupd32.exe
* %startup%\rqjupd32.exe
* %startup%\ikowin32.exe
* %startup%\wbhwin32.exe
* %startup%\hcgwin32.exe
* %startup%\fqosys32.exe
* %startup%\lecsys32.exe
* %startup%\necsys32.exe
* %startup%\rncsys32.exe
* %startup%\ysfsys32.exe
* %startup%\zqosys32.exe
* \wbem\grpconv.exe
* %appdata%\wiaserva.log %Temp%\wpv[12 RANDOM NUMBERS].exe
Төменгі registry-ді өзгертеді.
* HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders=”msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll”
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “Userinit”=%System%\userinit.exe, %System%\* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”RunGrpConv” = “1″
Төменгі мутант-ды пайда болдырады:
* _SYSTEM_4D2EF3A_
Төмен тізімдегі аддресстерге байланыс жасап улы кодтарын тартып алады.
* 58.65.235.41
* 78.109.29.116
* 78.109.29.112
* 91.207.61.12
* 213.155.4.82
* dollarpoint .ru
* imoviemax .ru
* mudstrang .ru
* vanni-van .cn
* gssmedia .cn
* www .qoeirq .com
Мына Trojan сіздің компьютеріңізге отырған болса төменгі улы кодтарды тартып компьютеріңізге отырғызады екен:
Win32/Ambler,Win32/Boaxxe,Win32/Busky,Win32/Cbeplay,
Win32/Cutwail, Win32/Daurso,Win32/FakeRean, Win32/
FakeSpypro,Win32/Haxdoor,Win32/Hiloti,Win32/Insnot,
Win32/Koobface, Win32/Momibot,Win32/Oderoor, Win32/
Oficla, Win32/Otlard,Win32/Rlsloup,Win32/Rustock,
Win32/Sinowal,Win32/Tedroo,Win32/Ursnif,Win32/Vundo,
Win32/Waledac,Win32/Wantvi,Win32/Winwebsec,Win32/Wopla,
Win32/Zbot
Қалай өшіреміз?
* System restore-ды біраз жауып қояамыз.
* Antivirus програмамызға update жасаймыз.
* Компьютерімізге Restart істеп SafeMode-пен кіреміз. /Restart істеп 1. F8 батырманы басып кейін 2. ENTER, 3. SafeMode-ты таңдайсыз/
* Full system scan істеп тараған барлық файлдарды іздеп, тазалап/өшіреміз.
Trojandownloader:Win32/Bredolab өте жылдам тарауымен қатар тез көбейетіндіктен қолданушы төменгі іс шараны жасау қажет.
* Авторы белгісіз и-мейл адрестен келген и-мейлдің attachment-ін сақтап алмау керек, и-мейл ішіндегі линк-ге баспауыңыз абзал.
Түп нұсқа
www.symantec.com/connect/blogs/bredolab-delivers-more-parcels-and-cash
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Bredolab
www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Bredolabshowall=False&CBF=False&sortby=date&sortdir=desc
blog.trendmicro.com/fake-facebook-password-notification-leads-to-malware/
www.sophos.com/security/analyses/viruses-and-spyware/trojbredolabf.html
www.bitdefender.com/VIRUS-1000540-en–Trojan.Downloader.Bredolab.AM.html
www.moncirt.org.mn/alert_and_tips/trojandownloader-win32-bredolab
Бұл Trojan програм/бағдарламасы/ UPS, Western union, Facebook-тен келген хаттар тәрізді келбетін өзгертіп (Төменгі суреттен көріңіз) “Facebook Password reset confirmation”, “UPS invoice”,” Western Union transfer is available for withdraw” деген сияқты тақырыптармен келеді.
Немесе Exploit:Win32/Pdfjsc –пен жалғасып сақталады. zip-қорапты ашқан кезде 36-40kb көлеміндегі Excel, Word-ның icon-дарына ұқсас файлдар болады.
Яғни ол үнемі атын өзгертіп нақты айтқанда svchost.exe, explorer.exe сияқты іс әрекеттерге өзін біріктіріп firewall-ды айналып шығады.
Бұл вирусты Antivirus програмалармен тексергенде:
* Backdoor.Win32.Bredolab.ou(Kaspersky)
* TROJ_BREDOLAB.J(TrendMicro)
* Trojan-Downloader.Win32.Bredolab(Ikarus)
* Trojan-Downloader:W32/Bredolab.ED(F-Secure)
* Trojan.Bredload.gen(Mc Afee)
деген аттармен ұсталады.
Win32/Bredloab –ның түрлері төменгі іс әрекеттерді жасайды:
Төменгі файлдарды пайда болдырады:
* \digeste.dll
* \digiwet.dll
* \mcenspc.dll
* \msansspc.dll
* %startup%\asgupd32.exe
* %startup%\dfqupd32.exe
* %startup%\dmaupd32.exe
* %startup%\fmnupd32.exe
* %startup%\ihaupd32.exe
* %startup%\imiupd32.exe
* %startup%\legupd32.exe
* %startup%\ppqupd32.exe
* %startup%\rqjupd32.exe
* %startup%\ikowin32.exe
* %startup%\wbhwin32.exe
* %startup%\hcgwin32.exe
* %startup%\fqosys32.exe
* %startup%\lecsys32.exe
* %startup%\necsys32.exe
* %startup%\rncsys32.exe
* %startup%\ysfsys32.exe
* %startup%\zqosys32.exe
* \wbem\grpconv.exe
* %appdata%\wiaserva.log %Temp%\wpv[12 RANDOM NUMBERS].exe
Төменгі registry-ді өзгертеді.
* HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders=”msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll”
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “Userinit”=%System%\userinit.exe, %System%\* HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”RunGrpConv” = “1″
Төменгі мутант-ды пайда болдырады:
* _SYSTEM_4D2EF3A_
Төмен тізімдегі аддресстерге байланыс жасап улы кодтарын тартып алады.
* 58.65.235.41
* 78.109.29.116
* 78.109.29.112
* 91.207.61.12
* 213.155.4.82
* dollarpoint .ru
* imoviemax .ru
* mudstrang .ru
* vanni-van .cn
* gssmedia .cn
* www .qoeirq .com
Мына Trojan сіздің компьютеріңізге отырған болса төменгі улы кодтарды тартып компьютеріңізге отырғызады екен:
Win32/Ambler,Win32/Boaxxe,Win32/Busky,Win32/Cbeplay,
Win32/Cutwail, Win32/Daurso,Win32/FakeRean, Win32/
FakeSpypro,Win32/Haxdoor,Win32/Hiloti,Win32/Insnot,
Win32/Koobface, Win32/Momibot,Win32/Oderoor, Win32/
Oficla, Win32/Otlard,Win32/Rlsloup,Win32/Rustock,
Win32/Sinowal,Win32/Tedroo,Win32/Ursnif,Win32/Vundo,
Win32/Waledac,Win32/Wantvi,Win32/Winwebsec,Win32/Wopla,
Win32/Zbot
Қалай өшіреміз?
* System restore-ды біраз жауып қояамыз.
* Antivirus програмамызға update жасаймыз.
* Компьютерімізге Restart істеп SafeMode-пен кіреміз. /Restart істеп 1. F8 батырманы басып кейін 2. ENTER, 3. SafeMode-ты таңдайсыз/
* Full system scan істеп тараған барлық файлдарды іздеп, тазалап/өшіреміз.
Trojandownloader:Win32/Bredolab өте жылдам тарауымен қатар тез көбейетіндіктен қолданушы төменгі іс шараны жасау қажет.
* Авторы белгісіз и-мейл адрестен келген и-мейлдің attachment-ін сақтап алмау керек, и-мейл ішіндегі линк-ге баспауыңыз абзал.
Түп нұсқа
www.symantec.com/connect/blogs/bredolab-delivers-more-parcels-and-cash
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Bredolab
www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Bredolabshowall=False&CBF=False&sortby=date&sortdir=desc
blog.trendmicro.com/fake-facebook-password-notification-leads-to-malware/
www.sophos.com/security/analyses/viruses-and-spyware/trojbredolabf.html
www.bitdefender.com/VIRUS-1000540-en–Trojan.Downloader.Bredolab.AM.html
www.moncirt.org.mn/alert_and_tips/trojandownloader-win32-bredolab
Пікір жоқ әзірше