XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Viruslar

  • Texniki məlumatı:

    Troyan 11 URL I olan listdən ibarətdir. Bəzi faylları endirmək üçün cəhd edir.

    Fayllar aşağıdakı qovluqda yaddaşda saxlanılır:

    %appdata%Mozila

    Fayllar sonra icra olunur və HTTP protokolu istifadə olunur.

  • Yüklənmə üsulu:

     Troyan öz kopyasını yaratmır.

  • Texniki məlumatı:

    Troyan proksi server kimi xidmət göstərir

    Bu əməliyatları icra edə bilir:

    portu açmaq

    İdarə olunan komputerə xüsusi port vasitəsi ilə qoşulmaq

    TCP protokolundan istifadə etmək

  • Yüklənmə üsulu:

     Troyan özünün heç bir kopyasını yaratmır.

  • Texniki məlumatı:

    Troyan məlumatları və əmrləri idarə olunan komputerdən və ya internetdən toplayır. Troyan 6 URL listdən ibarətdir. HTTP, UDP protocolları komunikasiyada istifadə olunur. Troyan simulasiya olunmuş (fırıldaq yolla quraşdırılan) banner reklamlarını HTTP sorğu göndərməklə şəbəkə sayğac məlumatlarını və sairələri həddindən artıq yükləyir.

    Troyan müxtəlif məlumatları aşağıdakı fayllarda saxlayır.

    %appdata%\u00BD\u009E\u0092\u0093\u00D3\u0099\u009C\u0089

    %commonappdata%\@system3.att

    %commonappdata%\@000001.dat

  • Yüklənmə üsulu:

    Troyan bu məlumatları toplayır:

    Ölkə kodu

    Əməliyat sisteminin versiyası

    Troyan toplanmış məlumatları idarə olunan komputerə göndərir. UDP protokolu istifadə olunur.

  • Texniki məlumatı:

    Troyan bu məlumatları toplayır:

    İstifadəçi adı

    Komputerin İP adresi

    Ekrandan çəkilən şəkillər

    Troyan şifrələri daxil etmə bacarığındadır.

    Toplanmış məlumatlar bu faylda saxlanılır.

    %appdata%\87

  • Yüklənmə üsulu:

    İcra olunduğu zaman, Troyan özünü aşağıdakı sahəyə köçürür.

    %startup%\Sirewa__.cpl

    Bu Troyanın hər system başlayanda aktivləşməsinə (icra olunmasına) səbəb olur.

    Troyan özünü aşağıdakı yerə köçürür.

    %appdata%\Sirewa__.cpl

    %systemdrive%\WINDOWS\system32\Sirewa__.cpl

    Troyan aşağıdakı proseslərin daxilində öz proqram kodu olan yeni proqram(idarə oluna bilən)

    yaradır və onu işlədir(aktivləşdirir)

    firefox.exe

    iexplore.exe

    chrome.exe

    opera.exe

    navigator.exe

    safari.exe

    maxthon.exe

    Bu fayllar aşağıdakı kimi dəyişdirilir.

    %startup%\Mozilla Firefox.lnk

    %startup%\Internet Explorer.lnk

    %startup%\Google Chrome.lnk

  • Texniki məlumatı:

     Troyan aşağıdakı məlumatları toplayır(mənimsəyir):

    Əməliyat sisteminin versiyası

    Əməliyyat sisteminin məlumatları və sistemin parametrləri

    Aşağıdakı qeydiyat altında yüklənmiş proqram komponentləri

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

    Qeydiyatın alt(əlavə) açarları

    İstifadədə olan yaddaşın həcmi (RAM həcmi)

    CPU(prosessor) məlumatları

    Reklam xarakterli əlavə məlumatlar (COOKİES)

    açılmış və ya açıq port nömrəsi

    Xüsusi qovluqlara qoşulma yolu

    Əlavə məlumatlar

    Troyan əldə olunmuş məlumatları toplayaraq idarə olunduğu komputerə göndərir.

    Troyan URL adresdən ibarətdir. HTTP protokolu istifadə edir.

  • Texniki məlumatı:
  • Yüklənmə üsulu:

     İcra olunanda (aktivləşdiriləndə), troyan özünü aşağıdakı yerə(seksiyaya) köçürür.

    %programfiles%\FastWeb\fastweb.exe 

    Troyan aşağıdakı faylı yaradır:

    %programfiles%\FastWeb\config_ns1.dat (12 B)

    Əməliyyat sistemi hər başladığı anda troyan aktivləşərək sistemin Registry(qeydiyat) girişini belə

    dəyişir.

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 

    "fastweb" = "%programfiles%\FastWeb\fastweb.exe"

  • Zərəri:

    Troyan məlumatları və əmrləri əlaqəli komputerdən və ya internetdən əldə edir. Troyan 6 URL(Uniform Resource Locator, Uniforma resurlarının identifikatoru) siyahısından ibarətdir. Troyan proksi server kimi xidmət göstərir. Troyan internet bağlantısını yoxlamaq üçün bu adreslərə qoşulur(bağlanır):

    duckduckgo.com

  • Texniki məlumatı:

     Trojan:Win32/Dynamer! troyanı digər zərərvericilərin tərkibində və ya saxta proqram təminatlarının yenilənmələrilə yoluxur.

  • Zərəri:

      Trojan:Win32/Dynamer! necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.

    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

    Addım 1: Antivirus proqramı ilə skana başlayın

    1-ci etməli olduğunuz şey Trojan:Win32/Dynamer! -un yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

  • Texniki məlumatı:

     Trojan-PSW.Win32.Dybalom.L zərərvericisi icra olunduqdan sonra Windovsun Temp qovluğuna troyan faylları olan paketi yükləyir.

  • Yüklənmə üsulu:

      Yayılması üçün aşağıdakı əməliyyatları aparır:
    [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\ {926A036A-158B-047A-E269-D148B0369C14}]

  • Zərərləşdirilməsi:

     Trojan-PSW.Win32.Dybalom.L troyanını necə silmək olar ?

    Antivirus proqramını işə salırıq və kompüterə qoşulu olan yaddaş daşıyıcıları ondan ayırırıq. F8 düyməsi vasitəsilə təhlükəsiz rejimə qoşulub antivirus yoxlamasını həyata keçiririk.

  • Texniki məlumatı:

     W64.Viknok.B!inf kompüterə düşən kimi (C&C) serverə qoşulur və zərərverici troyanı yükləyir.

  • Yayılma üsulu:

      W64.Viknok.B!inf (kompyuter virusunun zərərli fəaliyyət göstərən komponenti)
    Görəcəyiniz W64.Viknok.B!inf reklam proqramı əlamətləri aşağıdakılardır:
    1. İstifadəçi kompyuterinə potensial (mövcud) arzuolunmaz proqramların yüklənməsi.
    2. Təsadüfi veb səhifələrə keçidlər brauzerinizdə mətn hiperlinklərində təqdim olunur.

  • Texniki məlumatı:

      Backdoor.Generic11.ZNE - yoluxmuş kompüterə məsafəli giriş etmək üçün xakerə imkan yaradan çox zərərli troyandır. İlkin qoşulma zamanı funksiya olaraq istifadəçiyə məxsus şəxsi məlumatların və yoluxmuş kompüterin fayllarının ələ keçirilməsi reallaşdırılır.

  • Zərərləşdirilməsi:

     Backdoor.Generic11.ZNE-ni necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

    Antivirus proqramı ilə skana başlayın
    1-ci etməli olduğunuz şey Backdoor.Generic11.ZNE-in yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

  • Texniki məlumatı:

     Adobe Acrobat Reader -in boşluqlarından istifadə edərək PDF sənəd istifadə edərkən zərərverici faylı işə salır və lazım gəldikdə əlavə proqram təminatlarını yükləyir.

  • Yüklənmə üsulu:

    HTML/Malicious.PDF.Gen “Yükləmək üçün ödə” paylayıcı şəbəkəsində
    bir qayda olaraq digər potensial faydalı proqram təminatı ilə birlikdə paketlənmiş zərərli bir proqramdır.

  • Zərərləşdirilməsi:

      HTML/Malicious.PDF.Gen-ni necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmşilərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

  • Texniki məlumatı:

     Pandex!inf zərərvericisi əməliyyat sistemini yoluxduran troyan virusdur. Təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

  • Zərərləşdirilməsi:

    Pandex!inf aradan qaldırılması təlimatı:
    Pandex!inf  sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

  • Texniki məlumatı:

     Trojan.Newarxy troyan zərərvericisi xakerə imkan verir ki, yoluxmuş kompüteri proksi-server kimi istifadə eləsin. Bu zərərverici internetdə digər troyan proqram paketlərinin tərkibində yayıla bilər. 

  • Yayılma üsulu:

     <SYSTEM32>\temp.000
    %TEMP%\~GLH000a.TMP
    %PROGRAM_FILES%\Creative\Sharedll\~GLH0006.TMP
    <SYSTEM32>\~GLH0008.TMP
    %TEMP%\~GLH000d.TMP
    <Hal hazırki direktoriya>\~GLH000e.TMP
    %TEMP%\~GLH000b.TMP
    %TEMP%\~GLH000c.TMP
    %TEMP%\~GLH0000.TMP
    %TEMP%\~GLH0001.TMP
    %TEMP%\GLC1.tmp
    %TEMP%\GLK2.tmp
    %PROGRAM_FILES%\Creative\Sharedll\temp.000
    %PROGRAM_FILES%\Creative\Sharedll\~GLH0005.TMP
    %TEMP%\~GLH0002.TMP
    %PROGRAM_FILES%\Creative\Sharedll\~GLH0003.TMP

  • Zərəri:

     Belə ki, yayılması üçün sisteminizdə aşağıdakı servisi yaradır:
    [<HKLM>\SYSTEM\ControlSet001\Services\PfModNT] 'Start' = '00000002'

  • Texniki məlumatı:

     Bu virusun özəlliyi ondan ibarətdir ki, təhlükəli JavaScript faylından istifadə edərək özünü antivirus proqram təminatlarından qoruyur. Bu JavaScript troyanı istənilən saytda ola bilər və yeganə məqsədi həmin saytın ziyarətçisinin kompyuterində olan məlumatları C&C göndərməkdir.

  • Zərəri:

      Yayılmasını təmin etmək üçün reestrdə aşağıdakı dəyişikləri edir:
    [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DrvStart' = '%WINDIR%\Media\HPMedia.exe'
    Şəbəkə aktivliyi:
    '74.##5.232.51':25
    'up#####10.tripod.com':80
    'www.po##ni.ro':80
    TCP:
     HTTP GET:
    up#####10.tripod.com/CurrVer.txt

  • Texniki məlumatı:

     Gen:Adware.Heur kompyuterə başqa bir təhlükədən yüklənə bilən zərərli kod üçün evristik aşkarlanmadır. Bu brauzer-oğru, qəfil açılan reklam, alətlər paneli yaxud arzuolunmaz əlavə brauzer və genişlənmə formasında ola bilər. Adətən Gen:Adware.Heur virus kimi zərərli deyil lakin kompyuterə yüklənən zaman bezdirici ola bilər.

  • Zərərləşdirilməsi:

     Gen:Adware.Heuru necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

    Addım 1: Antivirus proqramı ilə skana başlayın
    1-ci etməli olduğunuz şey Gen:Adware.Heur-un yüklənməyə başlamasının qarşısını almaq üçün kompyuteri təhlükəsiz rejimdə şəbəkə drayverlərinin yüklənməsi ilə yenidən başlatmaqdır.

  • Texniki məlumatı:

     TrojanNewarxy silinmiş təcavüzkara - yoluxmuş sistemi proksi-server (bradmauer aləti -lokal şəbəkəni internet vasitəsilə skan olunmamış keçiddən qoruyan) kimi istifadə etməyə icazə verən Troyadır. Bu təhlükə internetdə başqa bir zərərli proqram və ya virus vasitəsilə yayıla bilər. Trojan.Newarxy həm riskli fayl mübadiləsi şəbəkələrindən, həmçinin eynisəviyyəli şəbəkə kimi tanınan əlaqədən qazanıla bilər.

  • Zərərləşdirilməsi:

     TrojanNewarxy-ni necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

  • Texniki məlumatı:

     Exploit:Java/Obfuscator.P potesial arzuolunmaz bir proqramdır. Bu, kompyuterə yükləmə idarəedicisi və kənar istifadəçilərin proqram təminatı vasitəsilə yüklənə bilər. Adətən Exploit:Java/Obfuscator.P kimi proqramlar kompyuterə istifadəçilərin razılığı olmadan yüklənməyə başlayır.

  • Zərərləşdirilməsi:

     Exploit:Java/Obfuscator.P-ni necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmişlərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

  • Texniki məlumatı:

      TROJ_CRYPTFILE.SM potesial arzuolunmaz bir proqramdır. Bu, adətən kompyuterə yükləmə idarəedicisi və kənar istifadəçilərin proqram təminatı vasitəsilə yüklənir. Adətən TROJ_CRYPTFILE.SM kimi proqramlar kompyuterə istifadəçilərin razılığı olmadan yüklənir. Zərərli proqram istehsalçıları onu daha sürətlə yerləşdirmək üçün “Yükləmək üçün ödə” sxemindən istifadə edir. Metod yalnız TROJ_CRYPTFILE.SM-i yükləmir həmçinin alətlər paneli və ana səhifə oğrusu kimi zərərli proqramları yaya bilər.

  • Zərərləşdirilməsi:

     TROJ_CRYPTFILE.SM RansomWare-ni necə aradan qaldırmalı?
    Qeyd: Biz təklif edirik ki,bu təlimatı ya çap edin,yaxud seçilmşilərə əlavə edəsiniz.
    Təhlükənin uğurla aradan qaldırılması məqsədilə kompüteri yenidən başladacağımız addımlar var.

  • Texniki məlumatı:

     Bu təlimatla sizin kompyuterinizdən Trojan:Win32/Autoac-ı
    aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin.

  • Zərəri:

     (kompyuter virusunun zərərli fəaliyyət göstərən komponenti)
    Görəcəyiniz Trojan:Win32/Autoac reklam proqramı əlamətləri aşağıdakılardır:
    1. İstifadəçi kompyuterinə potensial (mövcud) arzuolunmaz proqramların yüklənməsi.
    2. Təsadüfi veb səhifələrə keçidlər brauzerinizdə mətn hiperlinklərində təqdim olunur.
    3. Qəfil görünən reklam,saxta yeniləmələr və başqa arzuolunmaz proqram təminatı yeniləmələri.

  • Zərərləşdirilməsi:

     Trojan:Win32/Autoac sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

  • Texniki məlumatı:

    DOS/Alureon.J Bu təlimatla sizin kompyuterinizdən. DOS/Alureon.J,- i aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin(tamamlayın). DOS/Alureon.J istifadəçiyə yararsız və yanlış məlumat təqdim edən potensial arzuolunmaz bir proqramdır.  

  • Zərərləşdirilməsi:

     DOS / Alureon.J aradan qaldırılması təlimatı:
    DOS/Alureon.J sizə faydalı xidmət təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

  • Texniki məlumatı:

    Bu təlimatla sizin kompyuterinizdən TROJAN : WIN32 / DYNAMERLAC-ı aradan qaldırmaq üçün konkret addımlar tamamlanmalıdır. Zəhmət olmasa zərərli proqramın təhlükəsiz skan olunması aləti ilə başlayın, sonra bu proqramdan həmişəlik qurtulmaq üçün təlimatı bitirin. 

  • Yüklənmə üsulu:

     TROJAN : WIN32 / DYNAMERLAC “Yükləmək üçün ödə” paylayıcı şəbəkəsində
    bir qayda olaraq digər potensial faydalı proqram təminatı ilə birlikdə paketlənmiş zərərli bir proqramdır.

  • Zərərləşdirilməsi:

     TROJAN : WIN32 / DYNAMERLAC sizə faydalı xidmətlər təklif etdiyinə sizi inandırmaq istəyən bir proqramdır. Bu Potensial Arzuolunmaz Proqram sizə deməyə çalışır ki,o, sizin ehtiyacınız olan aradan qaldırma, musiqi faylı,videopleyer və s. kimi xidmət təqdim edir.

  • Texniki məlumatı:

     64 bitli Windows əməliyyat sistemini yoluxduran troyan virusdur. Boot.Tidserv təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

  • Yüklənmə üsulu:

     Yayılması üçün aşağıdakı əməliyyatları aparır:

    • [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\ {926A036A-158B-047A-E269-D148B0369C14}]

    İstifadəyə buraxır:

    • <SYSTEM32>\cmd.exe /c <SYSTEM32>\Deleteme.bat

    Şəbəkə aktivliyi:

    • 'ge##.2288.org':18077
    • 'localhost':8000

    UDP:

    • DNS ASK ge##.2288.org

     

  • Texniki məlumatı:

     Kompyuterdə olan proqramların parollarına cavabdeh olan faylları axtarır və onları silir.

  • Yüklənmə üsulu:

     Reestr-da növbəti açarları dəyişir:

    • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DisplaySwitch' = '"%ALLUSERSPROFILE%\Application Data\SystemRoot.exe"'

    Fayl sistemində növbəti faylları redaktə edir:\

    • %ALLUSERSPROFILE%\Application Data\1.jpg
    • %ALLUSERSPROFILE%\Application Data\SystemRoot.exe
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\img[1].jpg

    Şəbəkə aktivliyi:

    • '19#.#8.173.217':80
    • '18#.#90.126.117':80
    • '74.##5.232.51':80
    • 'localhost':1038

     

  • Texniki məlumatı:

     Təhlükəli troyandır, hansı ki, USB yaddaşlarda və şəbəkə disklərində nüsxəsini yaratmaq ilə yayılır.

  • Yüklənmə üsulu:

     Yayılması üçün sistemdə növbəti faylları dəyişir:

    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /f'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /Y'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /U'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /o'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /j'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /t'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /c'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /z'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /a'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /d'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /H'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /Q'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /B'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /v'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /E'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /I'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /s'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /w'
    • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yaibie' = '%HOMEPATH%\yaibie.exe /k

    Şəbəkə aktivliyi:

    • 'ns#.##ayer1352.com':8000
    • UDP:
    • DNS ASK ns#.##ayer1352.com

     

  • Texniki məlumatı:

     Troyan-virusudur ki, yoluxdurulan kompüterə başqa zərərli proqramların yüklənməsini və quraşdırmağını təmin edir.

  • Yüklənmə üsulu:

     Zərərverici kodlarını sistemə daxil edir:

    • <SYSTEM32>\cmd.exe
    • <SYSTEM32>\winlogon.exe
    • %WINDIR%\Explorer.EXE

    Növbəti sistem fayllarını yaradır:

    • %WINDIR%\$NtUninstallKB27979$\4121336045\@
    • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
    • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini

    Şəbəkə aktivliyi:

    • 'localhost':80
    • 'j.###mind.com':80
    • TCP:
    •  HTTP GET: Sorğuları
    • le#####eecounters.com/5699002-2F6F334BF9ACF1B2401D3874A5B0C048/counter.img?th################################
    • le#####eecounters.com/5699002-2F6F334BF9ACF1B2401D3874A5B0C048/counter.img?th###############################
    • j.###mind.com/app/geoip.js

     

  • Texniki məlumatı:

     Sosial şəbəkələrdə həyəcan təbili çalan bu virus yüksək təhlükəlilik səviyyəsinə qadirdir.

  • Yüklənmə üsulu:

     Yayılması üçün növbəti reestr dəyişikliyi edir:

    • [<HKLM>\SOFTWARE\Classes\iexploreFile\shell\open\command] '' = ''

    Fayl sistemində etdiyi dəyişikliklərlə bu yeni faylları yaradır:

    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\t[1].txt
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\type[1].txt
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\520921[1]
    • <Текущая директория>\Killme.vbs
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\type[1].txt
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\dom1[1].txt
    • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\launch internet explorer browser.iexplore
    • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\dom1[1].txt

     

     

  • Texniki məlumatı:

     Kompyuterinizə düşdükdən sonra sistemdə olan hosts faylını dəyişərək özünə məxsus veb ünvanları ora daxil edir.

  • Yüklənmə üsulu:

     Zərərverici funksiyaları:

    • <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\still_loving_youuuu.vbs"
    • <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\prisel_na_travu.vbs"
    • <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\tochno_lukavish\oi_lukavish\shipilovSan.bat"

    Əsas olaraq fayl sistemində etdiyi dəyişikliklər:

    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\still_loving_youuuu.vbs
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\poshel_von_ves_moi_samoobman.fff
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\prisel_na_travu.vbs
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\Uninstall.ini
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\Uninstall.exe
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\memouries.hid
    • %TEMP%\$inst\temp_0.tmp
    • %TEMP%\$inst\2.tmp
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\grouppovuhak.ico
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\shipilovSan.bat
    • %PROGRAM_FILES%\tochno_lukavish\oi_lukavish\spolna_nam.nav

    Şəbəkə aktivliyi:

    • '64.##.191.222':4321
    • 'localhost':1035

     

  • Texniki məlumatı:

     Trojan.MulDrop4.32143 troyanı sistem fayllarınıza dəyişiklik etməknən tam olaraq sisteminizi böyük təhlükə qarşısında qoya bilər.

  • Yüklənmə üsulu:

     Belə ki, yayılması üçün sisteminizdə aşağıdakı servisi yaradır:

    • [<HKLM>\SYSTEM\ControlSet001\Services\PfModNT] 'Start' = '00000002'

    Zərərverici funksiyaları:

    • %TEMP%\EndLch.exe
    • %TEMP%\checkos.EXE

    İşə salır:

    • <SYSTEM32>\regsvr32.exe /s/u "%PROGRAM_FILES%\Creative\Sharedll\Pfmod.dll"
    • <SYSTEM32>\regsvr32.exe /s "%PROGRAM_FILES%\Creative\Sharedll\Pfmod.dll"

    Sistem faylında növbəti dəyişiklikləri edir:

    • <SYSTEM32>\temp.000
    • %TEMP%\~GLH000a.TMP
    • %PROGRAM_FILES%\Creative\Sharedll\~GLH0006.TMP
    • <SYSTEM32>\~GLH0008.TMP
    • %TEMP%\~GLH000d.TMP
    • <Hal hazırki direktoriya>\~GLH000e.TMP
    • %TEMP%\~GLH000b.TMP
    • %TEMP%\~GLH000c.TMP
    • %TEMP%\~GLH0000.TMP
    • %TEMP%\~GLH0001.TMP
    • %TEMP%\GLC1.tmp
    • %TEMP%\GLK2.tmp
    • %PROGRAM_FILES%\Creative\Sharedll\temp.000
    • %PROGRAM_FILES%\Creative\Sharedll\~GLH0005.TMP
    • %TEMP%\~GLH0002.TMP
    • %PROGRAM_FILES%\Creative\Sharedll\~GLH0003.TMP

     

  • Texniki məlumatı:

     Sosial şəbəkələrdə reklam bannerlərində yerləşdirilən bir troyandır.

  • Yüklənmə üsulu:

     Yayılmasını təmin etmək üçün reestrdə aşağıdakı dəyişikləri edir:

    [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DrvStart' = '%WINDIR%\Media\HPMedia.exe'

    Şəbəkə aktivliyi:

    • '74.##5.232.51':25
    • 'up#####10.tripod.com':80
    • 'www.po##ni.ro':80
    • TCP:
    • Запросы HTTP GET:
    • up#####10.tripod.com/CurrVer.txt
    • www.po##ni.ro/images/thumbs0/server/ok.php?id##
    • UDP:
    • DNS ASK al##.####l-smtp-in.l.google.com
    • DNS ASK up#####10.tripod.com
    • DNS ASK www.po##ni.ro
  • Texniki məlumatı:

     Kompyuterinizə düşdükdən sonra cookie - də olan şifrələrinizi oğurlayır.

  • Yüklənmə üsulu:

     Yayılması və işə salınması üçün reestrin aşağıdakı açarlarını dəyişir.

    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000002]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000003][<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\
    • Catalog_Entries\000000000001]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\
    • Catalog_Entries\000000000003]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
    • \Catalog_Entries\000000000009]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000010] 
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000011] 
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000006]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000007]
    • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\
    • Catalog_Entries\000000000008]

    Sistem proseslərinə növbəti kodu daxil edir.

    • <SYSTEM32>\cmd.exe
    • <SYSTEM32>\services.exe
    • %WINDIR%\Explorer.EXE

     

  • Texniki məlumatı:

     Windows yeniləməsinə məxsus olan prosesləri dayandıraraq kompüterin təhlükəsizlik quraşdırmalarını yoluxdurur.

  • Yüklənmə üsulu:

     Zərərverici funksiyaları aşağıdakı parametrlərə uyğun işə salınır.

    • <SYSTEM32>\ping.exe 1.0.0.1 -n
    • <SYSTEM32>\wbem\wmiadap.exe /R /T
    • <SYSTEM32>\svchost.exe
    • <SYSTEM32>\cmd.exe /c ""%TEMP%\9407.bat" "

    Zərərverici kodu növbəti sistem proseslərinə yazır.

    • <SYSTEM32>\csrss.exe
    • <SYSTEM32>\svchost.exe

    Fayl sistemində dəyişiklik edir və növbəti faylları yaradır :

    • <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
    • %TEMP%\9407.bat

    Şəbəkə aktivliyi

    • 'af####.jjwwbos.com':12145
    • UDP:
    • DNS ASK it###.biy5566bt.com
    • DNS ASK st###.jjwwbos.com
    • DNS ASK af####.jjwwbos.com

     

     

  • Zərərləşdirilməsi:
    •  Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
  • Texniki məlumatı:
    • Reestr-da kütləvi şəkildə ierarxik ardıcıllığın pozulmasıma gətirib çıxarır.
  • Zərərləşdirilməsi:

    Zərərverici funksiyaları

    Reestr-da kənar proqramların parollarına cavabdeh olan faylları axtarır

    • [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
    • [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
    • [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
    • [<HKLM>\Software\FlashFXP\3]
    • [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
    • [<HKCU>\Software\BPFTP]
    • [<HKCU>\Software\South River Technologies\WebDrive\Connections]
    • [<HKCU>\Software\FTP Explorer\Profiles]
    • [<HKCU>\Software\FTPWare\COREFTP\Sites]
    • [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
    • [<HKCU>\Software\Sota\FFFTP\Options]
    • [<HKLM>\Software\FlashFXP]
    • [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
    • [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
    • [<HKCU>\SOFTWARE\Far2\Plugins\FTP\Hosts]
    • [<HKCU>\SOFTWARE\Microsoft\MessengerService]
    • [<HKCU>\SOFTWARE\Far\Plugins\FTP\Hosts]
    • [<HKCU>\Software\Ghisler\Windows Commander]
    • [<HKCU>\Software\FlashFXP]
    • [<HKCU>\Software\FlashFXP\3]
    • [<HKLM>\Software\Ghisler\Total Commander]
    • [<HKCU>\Software\Ghisler\Total Commander]
    • [<HKLM>\Software\Ghisler\Windows Commander]

     

    Sistem fayl sistemində etdiyi dəyəşikliklər

    Aşağıdakı faylları yaradır

    • <DRIVERS>\npf.sys
    • <SYSTEM32>\wpcap.dll
    • <SYSTEM32>\Packet.dll

    Şəbəkə aktivliyi:

    • '18#.#25.139.156':80
    • 'localhost':1072
    • '95.#8.8.28':80
    • 'localhost':1075
    • '18#.#60.25.55':80
    • 'localhost':1066
    • '95.##.221.91':80
    • 'localhost':1069
    • '91.##8.41.235':80
    • 'localhost':1078
    • '17#.#33.32.3':80
    • 'localhost':1087
    • '86.##1.96.18':80
    • 'localhost':1090
    • '81.##8.101.33':80
    • 'localhost':1081
    • '80.##.242.103':80
    • 'localhost':1084
    • '17#.#68.41.15':80
    • 'localhost':1045
    • '89.##9.85.103':80
    • 'localhost':1048
    • '15#.#24.28.14':80
    • 'localhost':1042
    • '87.##6.64.45':80
    • 'localhost':1036
    • '78.##.212.27':80
    • 'localhost':1039
    • '79.##5.193.77':80
    • 'localhost':1060
    • '86.##2.237.138':80
    • 'localhost':1063
    • '37.#30.43.3':80
    • 'localhost':1057
    • '15#.#24.24.213':80
    • 'localhost':1051
    • '89.##6.127.44':80
    • 'localhost':1054
    •  
  • Texniki məlumatı:

    Trojan.GBPBoot.1 icra olunan və <SYSTEM32>\notepad.exe sistem faylına yoluxan virusdur.

  • Zərəri:

    O məsafəli serverlərdən yüklənə bilir və yoluxmuş kompyuterdə müxtəlif faylları və ya proqramları işə sala bilir.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
  • Texniki məlumatı:

    W32.Zeeker icra olunan .exe və .scr faylları yoluxduran virusdur.

    W32/Zeeker.a - kimi digər antiviruslarla tatınır.

  • Zərəri:

    W32/Zeeker.a icra olunandan sonra kənar serverə digər virus proqramlarını yükləmək üçün qoşulur.

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
    6. Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
    7. Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
    8. Komputeri restart edin.
  • Texniki məlumatı:

    "Windows sizin təhlükəsizliyinizə ciddi təhdidləri aşkar etmişdir" (Windows has detected serious threats to your security) Mərkəzi İdarə etmək üçün mənsub olan pisniyyətli veb-sayta səfər etmiş kompüterlərdə sıçrayan yalan həyəcandır.

    Bu saxta xəbərdarlıq cəld kimi fırıldaqçı proqramının qeyd olunmamış versiyasını yükləmək üçün və quraşdırmaq üçün istifadəçilər üçün istifadə edilir . O  təkid edəcək ki, kompüter yoluxdurulub və məsləhət görülən alət ilə nə qədər mümkündürsə tez bütün təhdidləri uzaqlaşdırmağı istifadəçilərə xəbər verir .

    Windows has detected serious threats to your security
    During the scan Windows Security has detected 159 threats to the security of your PC. You must remove them immediately in order to prevent your private data from loss and damage.
    Win32/Netsky.Q worm (18)
    SoapHoax Spyware (23)
    Win32/Bagle.HE worm (158)

    fake alert

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • Windows Firewall-ı aktivləşdirin.
    • Kənar və etibarsız veb səhifələrin səfərindən keçinin.
  • Texniki məlumatı:

    W32.Pilleuz!gen10 evrestik metodla üzə çıxarılan soxulcan virusdur.

    W32/Autorun.worm!a758e0e7, W32/Rimecud, W32/Autorun-AUP, ButterflyBot.A - kimi digər antiviruslarla tatınır.

  • Yayılma üsulu:

    USB yaddaşlarında, birgə istəfadə edilən fayillar sistemində  surətini yaratmaq ilə və spam məktublar vasitəsi ilə yayılır.

  • Zərəri:

    W32.Pilleuz!gen10 həmçinin tam girişi əldə etmək üçün uzaq hücum edənə imkan verən təhlükə altında qoyulan kompüterdə backdoor portu açır.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
    • Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
    • Komputeri restart edin.
  • Texniki məlumatı:

    Backdoor.Tidserv.L pisniyyətli troyan-virusdur ki, backdoor portu vasitəsilə kompüterdə səlahiyyəti olmayan girişi əldə etmək üçün uzaq hücum edənə imkan verir.

    Backdoor.Tidserv.L həmçinin həssas informasiyanı ötürə bilər və tam sistem işini pisləşdirə bilən ayrı funksiya üçün kompüterdə əlavə faylları yükləyir.

  • Zərəri:

    Email və ya USB daşıcıları vasitəsi ilə yayilır.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
    • Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
    • Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
    • Komputeri restart edin.
  • Texniki məlumatı:

    Boot.Tidserv - Tidserv-in variantıdır, 64 bitli Windows əməliyyat sistemini yoluxduran troyan virusdur. Boot.Tidserv təhlükə altında qoyulan kompüterin Master Boot Record (MBR) hədəfə alır.

    MBR sistem qəzasə ilə nəticələnən yoluxdurulan versiya ilə əvəz ediləcək.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • USB avto-yuklemesinin söndürün ki, troyan Autorun.Inf-in köməyliyi ilə yuklənməsin.
    • Email vasitəsi ilə qələn şübhəli .vbs, .bat, .exe, .pif və .scr faylları açmaqdan çəkinin.
    • Email vasitəsi ilə qələn mektublarda şübhəli keçidlərə keçməkdən çəkinin.
    • Komputeri restart edin.
  • Texniki məlumatı:

    İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Windows PE (PE EXE) faylıdır. C++ proqramlaşdırma dilində yazilıb və 81408 bayt ölçüyə malikdir.

  • Yüklənmə üsulu:

     İcra olunandan sonra troyan proqram istifadəçinin müvəqqəti saxlama kataloquna bədənindən aşağıda göstərilən faylı çıxarır:

    %Temp%\<rnd1>.tmp

    burda <rnd1> sayların və əlifba hərflərin təsadüfü yığımıdır.

    20992 bayt ölcüsünə malik olan Kaspersky antivirusla "Trojan.Win32.Agent.dmyq" troyan proqramdır.

    Sonra isə troyan çixardığı faylı Windows-un sistem kataloquna "nynw.wmo" adla köçürür.

    %System%\nynw.wmo

    Növbəti sistem startından sonra avtomatik icra olunmaq üçün qeyd şöbəsinə aşağıda göstərilən açarı əlavə edir:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Shell" = "Explorer.exe rundll32.exe nynw.wmo mynleeq"

  • Zərəri:

    Sistemdə öz prosesinin unikallığının nəzarəti üçün troyan aşağıda göstərilən unikal proses identifikator adını yaradır:

    226299093086e28052

    Sonra isə troyan "svchost.exe" adlı proses yaradır və ora öz kodunu yeridir.

    Troyan aşağıda göstərilən sorgunu göndərir:

    http://baksomania2010.ru/kuzy/bb.php?v=200&id=<rnd2>&b=4mart&tm=4

    burda <rnd2> sayların və əlifba hərflərin təsadüfü yığımıdır.

    Cavabda isə o zərərli ünvanlar siyağısını alır.

    Məsələn:

    [info]runurl:http://www.comptoirdelhomme.com/obc/include/fid.exe|taskid:25|delay:45|
    upd:0|backurls:http://bmw760power.ru/kuzy/bb.php;http://fx.fx.bmw760power.ru/kuzy/bb.php;[/info]

    Sonra isə həmin aldığı ünvanlardan istifadəçinin müvəqqəti saxlama kataloquna digər zərərli proqramları aşağıda göstərilən adla yükləyir.

    %Temp%<rnd3>.tmp

    burda <rnd3> sayların və əlifba hərflərin təsadüfü yığımıdır. Müvəffəqiyyətli yükləmədən sonra həmin fayllar icra olunur.

    Əyər istifadəçinin kompüterində "Microsoft Office" proqram paketi yüklənibsə, o zaman təhlükəsizlik həddinin aşağı salması üçün qeyd şöbəsinə aşağıda göstərilən açarı əlavə edir:

    [HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1"

    Həmçinin qeyd şöbəsinə aşağıda göstərilən açarları da əlavə edir:

    [HKCR\idid]

    "url1"="68,74,74,70,3a,2f,2f,62,6d,77,37,36,30,70,6f,77,65,72,2e,72,75,2f,6b,75,7a
    ,79,2f,62,62,2e,70,68,70,00,00,14,e6,07,00,f5,53,91,7c,ec,e5,07,00,10,c2,97,7c,1
    0,e6,07,00,08,e6,07,00,78,e6,07,00,44,e7,07,00,00,00,00,00,18,00,00,00,03,00,00
    ,00,ac,e8,07,00,01,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,00,00,00,00,00,
    00,00,00,2c,03,00,00,d8,e6,07,00,f1,5a,91,7c,03,00,00,01,00,00,00,00,a0,10"

    "url2"="68,74,74,70,3a,2f,2f,66,78,2e,66,78,2e,62,6d,77,37,36,30,70,6f,77,65,72,2
    e,72,75,2f,6b,75,7a,79,2f,62,62,2e,70,68,70,00,00,00,00,00,00,00,00,00,00,00
    ,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
    ,00,00,00,00,00,00,00,bc,e6,07,00,9c,e6,07,00,00,00,00,00,78,e7,07,00,cc,e6
    ,07,00,ac,e6,07,00,a4,67,91,7c,04,e7,07,00,00,00,00,00,18,00,1a,00,1c,e8,07
    ,00,74,c1,97"

    "url3"="00,00,00,00,00,dc,e6,07,00,00,00,02,00,d0,e6,07,00,d0,e6,07,00,d0,e6,07,
    00,02,00,00,00,02,00,00,00,10,33,3c,77,08,00,0a,00,00,00,00,00,35,0f,00,00,
    40,e8,07,00,78,e7,07,00,40,e8,07,00,00,5a,91,7c,2c,e7,07,00,00,00,00,00,1c,
    e9,07,00,65,5a,91,7c,5c,e9,07,00,74,c1,97,7c,00,00,00,00,00,00,00,00,6c,e9,
    07,00,80,e8,07,00,00,00,00,00,e0,e8,07,00,00,00,00,00,00,00,00,00,b8,2e,0a,
    00,84,e7,07,00"

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

    Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən əməlləri icra edin:

    • Troyanın orijinal faylını silin.
    • %System%\nynw.wmo  %Temp%\<rnd>.tmp faylları silin. Burda <rnd> sayların və əlifba hərflərin təsadüfü yığımıdır.
    • İstifadəçinin müvəqqəti saxlama kataloqunu (Temporary Internet Files - %Temporary Internet Files%) təmizləyin.
    • Qeyd şöbəsindən [HKCR\idid] açarı silin.
    • Qeyd şöbəsində təhlükəsizlik həddinin yerinə qaytarılması üçün aşağıda göstərilən açarda dəyişiklər edin:

      [HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
    • Aşağıda göstərilən geyd şöbəsinin açarını bərpa edin:

      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
  • Texniki məlumatı:

    USB yaddaşlarında surətini yaratmaq ilə yayılan 51 bayt ölçüyə malik olan troyan proqramıdır. 

  • Yayılma üsulu:

    USB yaddaşlarında surətini yaratmaq ilə yayılır.

  • Zərəri:

    USB yaddaşlarında və lokal disklərdə "Autorun.inf" adlanan faylı yaraddır və digər zərərli proqramları köçürür. Yoluxdurulmuş diskləri açarkən avtomatik olaraq troyanın daxilindı olan zərərli skript icra olunur. Həmin skript yoluxdurulmuş diskdə olan başqa zərərli proqramı işə salır.

    Məsələn:

    F:\s1.exe

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

    Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən faylları silin:

    Məsələn:

    F:\autorun.inf

    F:\s1.exe

     

  • Texniki məlumatı:

    İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Windows DLL  (PE DLL-file) faylıdır. C++ proqramlaşdırma dilində yazilıb və 61440 bayt ölçüyə malikdir.

  • Zərəri:

    Troyan proqram "killall" funksiyasını eksport edir və aşagıda göstərilən icraları yerinə yetirir:

    • troyan proqramının bədənindən çıxartdı fayllar növbəti adların altında sistemdə saxlanır:

      %System%\drivers\AsyncMac.sys - 2304 bayt ölcüsünə malik olan Kaspersky antivirusla "Rootkit.Win32.Tiny.dg" troyan proqramdır.

      %System%\drivers\aec.SYS - 3072 bayt ölcüsünə malik olan Kaspersky antivirusla "Rootkit.Win32.Tiny.bx" troyan proqramdır.
       
    • Sistemdə "AsyncMac" və "aec" adlı xidmətlər yaradılır və icra olunurlar.
       
    • Aşağıda göstərilən parametrlərlə "cmd.exe" sistem komandalar interpretatoru icra olunur:
      • /c sc config ekrn start= disabled
      • /c sc config avp start= disabled
      • /c sc config McNASvc start= disabled
      • /c sc config MpfService start= disabled
      • /c sc config McProxy start= disabled
      • /c sc config McShield start= disabled
      • /c sc config mcmscsvc start= disabled
      • /c sc config Mcshield start= disabled
      • /c sc config XCOMM start= disabled
      • /c sc config LIVESRV start= disabled
      • /c sc config scan start= disabled
      • /c sc config VSSERV start= disabled
      • /c sc config RavTask start= disable
      • /c sc config RsScanSrv start= disabed
      • /c sc config RavTray start= disabled
      • /c sc config RsRavMon start= disabled
      • /c sc config RavCCenter start= disabled
      • /c taskkill /im ekrn.exe /f
      • /c taskkill /im avp.exe /f
      Beləliklə aşağıda göstərilən xidmətlərin avtomatik olaraq icrası dayandırılır:
      • ekrn
      • avp
      • McNASvc
      • MpfService
      • McProxy
      • McShield
      • mcmscsvc
      • Mcshield
      • XCOMM
      • LIVESRV
      • scan
      • VSSERV
      • RavTask
      • RsScanSrv
      • RavTray
      • RsRavMon
      • RavCCenter
      Həmçinin ekrn.exeavp.exe prosesləri dayandırılır.
    • Sistem yaddaşından aşağıda göstərilən prosesləri çıxarır:
      • CCenter.exe
      • MPSVC3.EXE
      • safeboxTray.exe
      • 360Safebox.exe
      • 360tray.exe
      • antiarp.exe
      • ekrn.exe
      • RsAgent.exe
      • egui.exe
      • RavMon.exe
      • RavMonD.exe
      • RavTask.exe
      • RavStub.exe
      • RsTray.exe
      • ScanFrm.exe
      • Rav.exe
      • AgentSvr.exe
      • QQDoctor.exe
      • McProxy.exe
      • McNASvc.exe
      • Mcshield.exe
      • rsnetsvr.exe
      • MpfSrv.exe
      • MPSVC.EXE
      • KISSvc.exe
      • KPfwSvc.exe
      • kmailmon.exe
      • KavStart.exe
      • KPFW32.EXE
      • KVMonXP.KXP
      • KVSrvXP.exe
      • ccSetMgr.exe
      • ccEvtMgr.exe
      • defwatch.exe
      • rtvscan.exe
      • ccapp.exe
      • vptray.exe
      • mcupdmgr.exe
      • mcproxy.exe
      • mcshield.exe
      • MPFSrv.exe
      • mcsysmon.exe
      • mcmscsvc.exe
      • mcnasvc.exe
      • mcagent.exe
      • mcshell.exe
      • mcinsupd.exe
      • bdagent.exe
      • livesrv.exe
      • vsserv.exe
      • xcommsvr.exe
    • Sistem qeyd şöbəsində aşağıda göstərilən açarları əlavə edir:

      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>] "Debugger" = "%System%\svchost.exe"

      Cəmi 51 açar yaradır. Burda <Application name> sətri yuxarıda göstərilən yaddaşdan çıxarılan proseslərdir. Bununla yuxarıda sadalanan proseslərin isrası dayandırılır.
       
    • Sistem qeyd şöbəsinin aşağıda göstərilən bölməsindən bütün açarlar silinir.

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

    • Bundan sonra troyanla yaradılmış xidmətlər "AsyncMac" və "aec" dayandırılırlar və silinillər.

      %System%\drivers\AsyncMac.sys

      %System%\drivers\aec.SYS
  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

    Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən açarı qeyd şöbəsindən silin:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>] "Debugger" = "%System%\svchost.exe"

  • Texniki məlumatı:

    USB yaddaşlarında surətini yaratmaq ilə yayılan 666 bayt ölçüyə malik olan troyan proqramıdır.  

  • Yayılma üsulu:

    USB yaddaşlarında surətini yaratmaq ilə yayılır.

  • Zərəri:

    USB yaddaşlarında və lokal disklərdə "Autorun.inf" adlanan faylı yaraddır və digər zərərli proqramları köçürür. Yoluxdurulmuş diskləri açarkən avtomatik olaraq troyanın daxilindı olan zərərli skript icra olunur. Həmin skript yoluxdurulmuş diskdə olan başqa zərərli proqramı işə salır.

    Məsələn:

    F:\STADO\dzogani.exe

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.

    Əyər antivirus proqram təminatı yuklənməyibsə aşağıda göstərilən faylları silin:

    Məsələn:

    F:\autorun.inf

    F:\STADO\dzogani.exe

  • Texniki məlumatı:

    W32.Expichu yoluxdurulan kompüterə əlavə pisniyyətli faylları yükləyən soxulcandır, hansı ki USB yaddaşlarında surətini yaratmaq ilə yayılır və Autorun.Inf faylı vasitəsilə icra olunur.

    W32.Expichu təhlükə altında qoyulan kompüterdə yerinə yetirilən əlavə pisniyyətli faylları yükləmək üçün uzaq kompüterə birləşmək üçün cəhd edir.

  • Yayılma üsulu:

    USB yaddaşlarında surətini yaratmaq ilə yayılır.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\”SysLive” = “%CommonProgramFiles%\SysLive.exe”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.COM\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IsHelp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoGuarder.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360deepscan.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krnl360svc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kswebshield.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zhudongfangyu.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ScanFrm.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentsvr.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syscheck.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smartassistant.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwolusr.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravt08.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\killhidepid.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\findt2005.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arvmon.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ToolsUp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Syscheck2.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREngPS.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsMain.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegEx.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStore.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavCopy.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\”Debugger” = “ntsd -d”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe\”Debugger” = “ntsd -d”

    • Qeyd şöbəsindən çıxın və kompüteri restart edin.
  • Texniki məlumatı:

    W32.SillyFDC.BDN yoluxdurulan kompüterə əlavə pisniyyətli faylları yükləyən soxulcandır, hansı ki USB yaddaşlarında surətini yaratmaq ilə yayılır və Autorun.Inf faylı vasitəsilə icra olunur.

  • Yayılma üsulu:

    USB yaddaşlarında surətini yaratmaq ilə yayılır.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Advanced\”Hidden” = “1″

      HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Advanced\”ShowSuperHidden” = “1″

      HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\system\”DisableRegistryTools” = “1″

      HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\system\”DisableTaskMgr” = “1″

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\”Shell” = “explorer.exe winlogons.EXE”

    • Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    WORM_PALEVO.AZA hədəf kompüterində onun öz pisniyyətli yerinə icra olunan fayllarını silir və Skype və Yahoo Messenger kimi ani mesajlaşma proqramları vasitəsilə yayılan soxulcan-virusdur.

    Windows işə düşəndə WORM_PALEVO.AZA özünü qizlətmək üçün qeyd şöbəsini dəyişdirə bilər.

  • Yayılma üsulu:

    Skype və Yahoo Messenger kimi ani mesajlaşma proqramları vasitəsilə yayılır.

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunFirewall Administrating = “%Windows%\infocard.exe”

    6. Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    Worm:Win32/Rebhip.A adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

    Worm:Win32 Rebhip.A yoluxdurulan kompüterdən həssas informasiyanı toplayacaq və qabaqcadan müəyyən edilmiş uzaq serverə onu göndərəcək.

    Trojan.Win32.Llac.aaf, Win32/Spatet.A, Trj/Spy.YM - kimi digər antiviruslarla tatınır.

  • Yayılma üsulu:

     Win32/Rebhip.A adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. Aşağıdakıları qeyd şöbəsindən silin:

      HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run “WinDefence”

      HKCU\Software\SlysBitch “FirstExecution”

    6. Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    Trojan.Win32.Llac.aaf troyan-virusudur ki, yoluxdurulan kompüterə başqa zərərli proqramların yüklənməsini və quraşdırmağını təmin edir.

    Worm:Win32/Rebhip.A, Win32/Spatet.A, Trj/Spy.YM - kimi digər antiviruslarla tatınır.

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. Aşağıdakıları qeyd şöbəsindən silin:

      HKLM\SOFTWARE\Microsoft\Windows\Current Version\policies\Explorer\Run ] “Policies” = “c:\dir\install\install\server.exe

      HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{OMDOX3XX-8BT5-IB7L-O5T6-V35T0TG7XKS8} ] “StubPath” = “c:\dir\install\install\server.exe Restart”

    6. Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    Trojan.Ascesso.A başqa təhdidin qeyri-iradi yüklənə bilindiyi pisniyyətli vebsayta göstərən linkini özündə saxlayan spam elektron poçtları vasitəsilə yayılan troyan-virusudu. Trojan.Ascesso.A yoluxdurulan kompüterdə elektron poçt ünvanını toplayır və eyni məzmunu göndərir.

  • Yayılma üsulu:

    Trojan.Ascesso.A yoluxdurulan kompüterdə elektron poçt ünvanını toplayır və eyni məzmunu göndərməklə yayılır.

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Type” = “1″


      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Start” = “0″


      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”ErrorControl” = “0″


      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”ImagePath” = “System32\Drivers\[RANDOM LETTERS].sys”


      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[RANDOM LETTERS]\”Group” = “SCSI Class”

    6. Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    W32.SillyFDC.BDM adlı soxulcan-virusdur, hansı ki USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır.

    Windows işə düşəndə W32.SillyFDC.BDM özünü qizlətmək üçün qeyd şöbəsini dəyişdirə bilər.

  • Yayılma üsulu:

    USB yaddaşlarında və şəbəkə disklərində surətini yaratmaq ilə yayılır. 

  • Zərərləşdirilməsi:
    1. Sistem bərpasını müvəqqəti söndürün.
    2. Antivirusun bazalarını yeniləyin.
    3. Kompüteri SafeMode rejiminə keçirin.
    4. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    5. Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Banyak_Kerjaan” = “%SystemDrive%\RECYCLER\Tukang.exe”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Hidup_Susah” = “%SystemDrive%\RECYCLER\Pembantu.exe”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Rakyat_Kelaparan” = “%SystemDrive%\RECYCLER\Kuli.exe”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Rakyat_Miskin” = “%SystemDrive%\RECYCLER\Buruh.exe”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Services++” = “%SystemDrive%\RECYCLER\services.exe”

    6. Qeyd şöbəsindən çıxın və kompüteri restart edi.

     

  • Texniki məlumatı:

    Trojan.Bredolab.BR populyar Bredolab malware ailəsinin başqa variantıdır.

    Bundan fərqli olaraq bəzi daha köhnə variant ki, biri bu halda olduqca sadə davranışa, malikdirlər ki, başqa malware komponentlərini yükləməkdir. Bundan asılı olmayaraq funksional imkanı məhdudlaşdırdı, bu onun kiçik düşmən proqram kodunu gizlədən olduqca qarışdırılan kod ilə müdafiəni qablaşdıran ənənədən istifadə etməklə analizə və ya antimalware proqramlarına qarşı çox yaxşı qorunur, üzə çıxarmanı standart antivirus skanerləri üçün çətin başa gəlir.

    Fayla fikirləşmək üçün şübhələnməyən kompüter istifadəçisi zərərsiz sənəd bənzər təsvir ilə açıq-aydın görünür, o heç bir zərəri edə bilməz. İcrada , o onun kodunu açıb çıxardacaq və başqa trojans-ı, antivirusu və ya skanerləri (PC Antispyware 2010 kimi) antispyware-ni, adətən yükləmək və yerinə yetirmək üçün HTTP protokolundan müxtəlif uzaq ünvanlara birləşməyə cəhd edəcək.

    Necə ki artıq xatırladılan, bu spesifik variant başqa yoluxdurulan faylları yükləmək istisna olmaqla heç nəyi faktik olaraq etməyəcək. Məsələn o sistem buraxılmasında avtomatik başlamaq üçün özünü qeydə almır, edir, o bir qədər başqa variantlar kimi başqa proseslərə kodu yeridir.

    W32/Bredolab.T.gen!Eldorado, Generic Dropper.lr, Packed.Win32.Krap.x - kimi digər antiviruslarla tatınır.

  • Zərərləşdirilməsi:
    1. Antivirusun bazalarını yeniləyin.
    2. Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
  • Texniki məlumatı:

    Adware.EZLife buraxılmada özünü işə salmaq üçün Windows qeyd şöbəsini dəyişdirən potensial olaraq arzuedilməz proqramdır.

    Adware.EZLife yoluxdurulan kompüterdə həddən artıq reklamları göstərəcək.

     

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”ezLife” = “C:\WINDOWS\system32\[RANDOM FILE NAME ONE].dll”

      HKEY_CLASSES_ROOT\CLSID\{E0EC6FBA-F009-3535-95D6- B6390DB27DA1}\InprocServer32\”default” = “C:\WINDOWS\system32\[RANDOM FILE NAME ONE].dll”

      HKEY_CLASSES_ROOT\CLSID\{275817B3-0A2A-4BFE-8036- 0B61D81FE603}\InprocServer32\”default” = “C:\WINDOWS\system32\[RANDOM FILE NAME TWO].dll”

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Smart-Ads-Solutions\UninstallString

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\ezLife\UninstallString

      HKEY_CLASSES_ROOT\CscrptXt.CscrptXt.1.0

      HKEY_CLASSES_ROOT\CscrptXt.CscrptXt

      HKEY_CLASSES_ROOT\adHlpr.adHlpr.1.0

      HKEY_CLASSES_ROOT\adHlpr.adHlpr

      HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr.1.0

      HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr

      HKEY_CURRENT_USER\Software\Smart-Ads-Solutions

      HKEY_CURRENT_USER\Software\ezLife

      HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions

      HKEY_LOCAL_MACHINE\SOFTWARE\ezLife

      HKEY_CLASSES_ROOT\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}

      HKEY_CLASSES_ROOT\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99}

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\Smart-Ads-Solutions

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Uninstall\ezLife

    • Qeyd şöbəsindən çıxın və kompüteri restart edi.

  • Texniki məlumatı:

    W32.Yimfoca Microsoft Malware Protection Xidmətinə və Windows Yeniləməsinə mənsub olan prosesləri dayandırmaq ilə kompüterin təhlükəsizlik quraşdırmalarını yoluxdurdu.

  • Yayılma üsulu:

    W32.Yimfoca Yahoo Messenger proqramından pisniyyətli linklər göndərməyi çoxaldacaq.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.
    • Aşağıdakıları qeyd şöbəsindən silin:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\”Firewall Administrating” = “%Windir%\infocard.exe”

    • Qeyd şöbəsindən çıxın və kompüteri restart edi.
  • Texniki məlumatı:

    İstifadəçinin kompüterində dağıdıcı hərəkəti yerinə yetirən troyan proqramdır. Trojan.Artilyb - Microsoft Office RTF File Stack Buffer Overflow zəifliyini geniş istifadə edir.

  • Yayılma üsulu:

      Xüsusi hazirlanmış .rtf fayl email əlavəsi kimi yayılır.

  • Zərərləşdirilməsi:
    • Sistem bərpasını müvəqqəti söndürün.
    • Antivirusun bazalarını yeniləyin.
    • Kompüteri SafeMode rejiminə keçirin.
    • Antivirusun tam sistem baxılmasını işə salın və bütün yoluxdurulan faylları silin.