Backdoor.WinCE.Brador.a
также известен как: WinCE/BackDoor-CHK (McAfee), Backdoor.Brador.A (Symantec), BackDoor.Bra (Doctor Web), Troj/Brador-A (Sophos), Backdoor:WinCE/Brador.A (RAV), WINCE_BRADOR.A (Trend Micro), BDS/WinCE.Brador.A (H+BEDV), WinCE:Brador (ALWIL), WinCE/Brador.A (Grisoft), Backdoor.WinCE.Brador.A (SOFTWIN), Bck/WinCE.Brador.A (Panda), WinCE/Brador.A (Eset)
Анти-вирусная сигнатура добавлена 05 августа 2004
Поведение Backdoor, троянская программа удаленного администрирования
Описание.
Утилита удаленного администрирования (backdoor) для PocketPC на базе Windows CE и более новых версий Windows Mobile.
Представляет собой файл размером 5632 байт, написан на ASM для процессоров ARM.
После запуска создает свой файл с именем "svchost.exe" в каталоге "\Windows\StartUp\", получая, таким образом, управление при каждом запуске зараженного КПК.
Backdoor определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и backdoor активен. После этого он открывает порт 2989 для приема команд.
В качестве команд backdoor принимает следующие значения:
d - вывод содержимого каталога
f - завершение работы бэкдора
g - отправить файл
m - вывод на экран сообщения
p - принять файл
r - выполнить команду
Virus.WinCE.Duts.aтакже известен как: WinCE.Duts.a («Лаборатория Касперского»), WinCE/Duts.1520.dr (McAfee), WinCE.Duts (Symantec), WCE/Duts-A (Sophos), WinCE/Duts.A.dr (RAV), WINCE_DUTS.A-O (Trend Micro), Win/Duts.A.WinCE (H+BEDV), WinCEuts (ALWIL), WinCE/Dust (Grisoft), WinCE.Dust.A (SOFTWIN), WinCE/Duts.1520.A (Panda)
Анти-вирусная сигнатура добавлена 17 июлю 2004
Поведение Virus, компьютерный вирус
Описание
WinCE.Duts.a - первый вирус для карманных компьютеров, работающих под управлением Windows CE .NET.
Об авторстве можно судить по строке, содержащейся в теле вируса:
WinCE4.Dust by Ratter/29A
Группа 29А не единожды прославилась на ниве создания концептуально новых вредоносных программ (в частности, первого червя для мобильных телефонов Worm.SymbOS.Cabir.a). Вот что сообщают авторы о своем детище (еще две строки из тела вируса):
This is proof of concept code. Also, i wanted to make avers happy.The situation when Pocket PC antiviruses detect only EICAR file had to end ...
:
This code arose from the dust of Permutation City.
Вирус представляет собой программу для процессора ARM длиной в 1520 байт. При запуске программа вежливо спрашивает у пользователя разрешения размножиться:
При положительном ответе происходит заражение подходящих по формату (процессор ARM) и размеру (>4kb) исполняемых файлов в корневой директории устройства (My device). Вирус дописывает себя в конец последней секции файла и устанавливает точку входа на свое начало. Зараженные файлы помечаются сигнатурой "atar" в одном из неиспользуемых полей PE-заголовка.
Вирус работает на устройствах под управлением ОС PocketPC 2000, PocketPC 2002, PocketPC 2003.
EICAR-Test-File
также известен как: EICAR-AV-Test (Sophos), EICAR_Test_File (RAV), Eicar_test_file (Trend Micro), Eicar-Test-Signature (H+BEDV), EICAR_Test_File (FRISK), EICAR_Test (+356) (Grisoft), Eicar-Test-Signature (ClamAV), Eicar.Mod (Panda)
Поведение Virus, компьютерный вирус
Описание.
Под именем "EICAR-Test-File" детектируется небольшой 68-байтный COM-файл, который вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление DOS.
Для чего это нужно?
Некоторое время назад разработчики нескольких антивирусных программ начали включать в свои пакеты подобные файлы, которые вирусами не являются, но определяются антивирусом как вирус. Это было вызвано интересом со стороны пользователей, которые "живых" вирусов не имеют, но желают посмотреть, каким образом антивирус реагирует на вирусы, какие сообщения при этом выводит и какие действия предлагает совершить пользователю.
Спустя некоторое время разработчики антивирусных программ решили выработать единый стандарт на подобный "симулятор вируса", а спустя еще некоторое время пришли к выводу, что эта программа должна состоять только из текстовых сообщений. Это необходимо для того, чтобы наиболее любопытные пользователи могли набить ее самостоятельно (например, под диктовку по телефону или переписав из документации).
В результате этот COM-файл выглядит так:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIR US-TEST-FILE!$H+H*
Если вырезать это строку или набить ее командой "COPY CON TEST.COM", то полученный COM-файл при запуске выводит сообщение:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
и возвращает управление DOS - ничего более, но многие антивирусные программы будут детектировать его как "EICAR test file" или типа того.
