Virus.VBS. Gum

ирус, нарушающий работоспособность компьютера. Имеет размер 1126 байт. Является HTML-файлом. Написан на Visual Basic Script.

Деструктивная активность

При запуске вирус снимает атрибут «Только чтение» со следующего файла:
С:\Windows\system.dat

Данный файл удаляется.

Также вирус удаляет файлы:
C:\autoexec.bat
C:\config.sys

Вредоносная программа создает файл «gum.mrc» в стандартном каталоге установки IRC-клиента Mirc:
С:\Mirc\gum.mrc

Далее в файл настроек Mirc «mirc.ini» вирус прописывает автозагрузку файла «gum.mrc».

Таким образом, всем пользователям при соединении с IRC-каналом, к которому подключен зараженный компьютер, отправляются файлы:
C:\Mirc\download\gum.html
C:\Mirc\download\gum.gif

Другие названия

Virus.VBS.Gum («Лаборатория Касперского») также известен как: VBS.Gum («Лаборатория Касперского»), MIRC/Generic (McAfee), VBS.Gum.A (Symantec), VBS.Gum (Doctor Web), VBS/mIRCGum (Sophos), VBS/Gum.A* (RAV), VBS_GUM.B (Trend Micro), VBS/Gum (H+BEDV), VBS/Gum.A (FRISK), VBS:Malware (ALWIL), VBS/Gum.A (Grisoft), VBS.Gum.A (SOFTWIN), VBS.Gum (ClamAV), VBS/Gum.A (Panda), HTML/ChewingGum.B (Eset)

Trojan.Win32. Qhost.fe

Троянская программа представляет собой модифицированный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 5942 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам. Достигается это путем добавления в файл «hosts» следующих строк:

Код:

145.122.155.213 avp.com
38.141.114.157 ca.com
63.185.237.164 customer.symantec.com
23.202.7.12 dispatch.mcafee.com
22.126.229.128 download.mcafee.com
212.174.152.172 downloads1.kaspersky-labs.com
201.205.219.0 downloads2.kaspersky-labs.com
230.135.169.2 downloads3.kaspersky-labs.com
196.184.0.188 downloads4.kaspersky-labs.com
53.28.155.139 downloads-eu1.kaspersky-labs.com
66.205.138.58 downloads-eu2.kaspersky-labs.com
118.140.98.217 downloads-eu3.kaspersky-labs.com
5.222.244.171 downloads-eu4.kaspersky-labs.com
33.122.75.254 downloads-us1.kaspersky-labs.com
23.22.204.3 downloads-us2.kaspersky-labs.com
127.9.83.63 downloads-us3.kaspersky-labs.com
31.216.18.81 downloads-us4.kaspersky-labs.com
70.37.16.156 f-secure.com
194.254.34.122 ftpavp.com
62.168.31.177 ftpca.com
149.211.58.176 ftpcustomer.symantec.com
128.64.57.85 ftpdispatch.mcafee.com
31.107.132.70 ftpdownload.mcafee.com
64.169.185.151 ftpdownloads1.kaspersky-labs.com
110.204.180.81 ftpdownloads2.kaspersky-labs.com
165.196.207.136 ftpdownloads3.kaspersky-labs.com
182.218.59.153 ftpdownloads4.kaspersky-labs.com
182.231.177.204 ftpdownloads-eu1.kaspersky-labs.com
135.165.124.87 ftpdownloads-eu2.kaspersky-labs.com
84.148.228.15 ftpdownloads-eu3.kaspersky-labs.com
141.246.168.201 ftpdownloads-eu4.kaspersky-labs.com
195.237.14.49 ftpdownloads-us1.kaspersky-labs.com
101.55.17.15 ftpdownloads-us2.kaspersky-labs.com
198.9.97.212 ftpdownloads-us3.kaspersky-labs.com
249.163.157.220 ftpdownloads-us4.kaspersky-labs.com
203.6.144.57 ftpf-secure.com
127.214.199.252 ftpgrisoft.com
33.128.86.222 ftpkaspersky.com
238.19.166.28 ftpkaspersky-labs.com
198.201.140.1 ftpliveupdate.symantec.com
25.240.149.112 ftpliveupdate.symantecliveupdate.com
193.244.78.96 ftpmast.mcafee.com
204.206.91.161 ftpmcafee.com
141.178.53.215 ftpmy-etrust.com
135.22.233.144 ftpnai.com
17.2.27.74 ftpnetworkassociates.com
180.206.47.229 ftpnorton.com
44.168.239.211 ftprads.mcafee.com
6.7.242.111 ftpsandbox.norman.com
81.127.164.91 ftpsecure.nai.com
210.133.68.86 ftpsecurityresponse.symantec.com
175.18.159.95 ftpsophos.com
9.203.246.152 ftpsymantec.com
238.137.63.45 ftpsymantecliveupdate.com
52.110.181.221 ftpsymatec.com
248.103.248.202 ftptrendmicro.com
137.186.157.156 ftpuk.trendmicro-europe.com
210.21.245.201 ftpupdate.symantec.com
145.164.238.253 ftpupdates.symantec.com
10.61.208.218 ftpupdates1.kaspersky-labs.com
214.18.70.42 ftpupdates2.kaspersky-labs.com
45.251.90.54 ftpupdates3.kaspersky-labs.com
38.233.114.83 ftpupdates4.kaspersky-labs.com
215.89.108.216 ftpus.mcafee.com
229.254.207.150 ftpviruslist.com
74.19.87.6 grisoft.com
246.190.53.175 kaspersky.com
152.190.81.164 kaspersky-labs.com
163.55.114.242 liveupdate.symantec.com
224.178.1.231 liveupdate.symantecliveupdate.com
41.108.98.165 mast.mcafee.com
22.194.20.196 mcafee.com
193.126.133.150 my-etrust.com
223.77.226.187 nai.com
207.153.180.151 networkassociates.com
123.24.42.113 norton.com
137.190.217.52 pandasoftware.com
65.122.207.26 rads.mcafee.com
189.85.68.202 sandbox.norman.com
39.222.186.43 secure.nai.com
167.147.1.102 securityresponse.symantec.com
92.11.181.107 sophos.com
81.45.209.116 symantec.com
119.59.234.198 symantecliveupdate.com
3.220.34.192 symatec.com
173.148.103.117 trendmicro.com
201.56.28.203 uk.trendmicro-europe.com
158.220.177.251 update.symantec.com
134.207.71.226 updates.symantec.com
47.7.114.107 updates1.kaspersky-labs.com
19.40.176.25 updates2.kaspersky-labs.com
241.18.166.124 updates3.kaspersky-labs.com
114.127.175.3 updates4.kaspersky-labs.com
37.54.106.123 us.mcafee.com
150.92.180.198 viruslist.com
183.219.79.123 virusscan.jotti.org 175.246.160.127 virustotal.com
235.111.61.226 wwwavp.com
15.235.187.110 wwwca.com
121.120.242.193 wwwcustomer.symantec.com
27.66.48.116 wwwdispatch.mcafee.com
77.135.1.124 wwwdownload.mcafee.com
82.61.150.235 wwwdownloads1.kaspersky-labs.com
208.243.233.63 wwwdownloads2.kaspersky-labs.com
89.130.153.194 wwwdownloads3.kaspersky-labs.com
201.105.193.206 wwwdownloads4.kaspersky-labs.com
164.15.161.237 wwwdownloads-eu1.kaspersky-labs.com
187.61.106.152 wwwdownloads-eu2.kaspersky-labs.com
165.121.16.167 wwwdownloads-eu3.kaspersky-labs.com
109.38.86.160 wwwdownloads-eu4.kaspersky-labs.com
140.139.20.129 wwwdownloads-us1.kaspersky-labs.com
107.175.222.54 wwwdownloads-us2.kaspersky-labs.com
159.31.134.70 wwwdownloads-us3.kaspersky-labs.com
34.9.172.1 wwwdownloads-us4.kaspersky-labs.com
25.89.212.167 wwwf-secure.com
15.165.173.86 wwwgrisoft.com
30.43.5.62 wwwkaspersky.com
117.163.26.97 wwwkaspersky-labs.com
59.41.193.96 wwwliveupdate.symantec.com
171.138.15.157 wwwliveupdate.symantecliveupdate.com
126.171.248.184 wwwmast.mcafee.com
116.220.174.29 wwwmcafee.com
18.72.138.189 wwwmy-etrust.com
105.105.92.36 wwwnai.com
117.145.132.243 wwwnetworkassociates.com
116.131.128.143 wwwnorton.com
185.174.246.245 wwwpandasoftware.com
94.248.222.138 wwwrads.mcafee.com
91.63.204.91 wwwsandbox.norman.com
100.96.254.29 wwwsecure.nai.com
28.142.188.233 wwwsecurityresponse.symantec.com
102.179.32.2 wwwsophos.com
127.155.201.146 wwwsymantec.com
31.192.65.203 wwwsymantecliveupdate.com
68.103.79.66 wwwsymatec.com
239.223.56.100 wwwtrendmicro.com
121.32.28.133 wwwuk.trendmicro-europe.com
56.9.86.204 wwwupdate.symantec.com
165.145.171.118 wwwupdates.symantec.com
199.38.160.63 wwwupdates1.kaspersky-labs.com
117.234.86.250 wwwupdates2.kaspersky-labs.com
79.198.23.142 wwwupdates3.kaspersky-labs.com
122.210.43.92 wwwupdates4.kaspersky-labs.com
240.154.133.229 wwwus.mcafee.com
133.203.203.161 wwwviruslist.com
91.61.242.205 wwwvirustotal.com

Таким образом, все запросы к данным серверам переадресовываются на заданные адреса.

Все это — результат деятельности другой вредоносной программы.

Virus.PHP. Zodar

Скриптовый вирус, заражающий файлы с расширением «.php». Имеет размер 669 байт. Написан на PHP.

Деструктивная активность

При запуске вирус ищет в текущей папке файлы с расширением «.php». В найденных файлах проверяет наличие строки:

[Zodar]

Если данная строка отсутствует, вирус записывает в файл свое тело, а после него — тело самого файла.

Другие названия

Virus.PHP.Zodar («Лаборатория Касперского») также известен как: PHP.Zodar («Лаборатория Касперского»), PHP/Zodar (McAfee), PHP.Zodar (Symantec), PHP/Zodar* (RAV), PHP_ZODAR.A (Trend Micro), PHP/Zodar (H+BEDV), PHP/Zodar.A (FRISK), PHP.Zodar.A (SOFTWIN), PHP.Zodar (ClamAV), PHP/Zodar (Panda), PHP/Zodar.A (Eset)