Показано с 1 по 1 из 1.

Подскажите что делает этот троян

  1. 02.06.2010, 15:02 #1
    lexl
    lexl вне форума
    Junior Member Репутация Репутация
    Регистрация
    02.06.2010
    Сообщений
    1
    Вес репутации
    52

    Подскажите что делает этот троян

    К сожалению, на virustotal.com его не определяет ни один антивирус, поэтому прикладываю его во вложении, пароль: virus.

    http://www.virustotal.com/ru/analisi...f6c-1274516553
    http://www.virustotal.com/ru/analisi...73d-1275470748

    Мои наблюдения по этому поводу.

    Внешний вид:
    В названии «wmiарsrv.exe», буква «а» - русская.
    В описании «Cлужбa aдaптeрa прoизвoдитeльнocти WМI», буква «M» также русская.
    Находились они в %windir%\system32\
    cisv.exe был прописан в шедулере виндовс.
    Файлы скомпилированы с помощью Borland C++.

    В коде wmiарsrv.exe виден понятный кусок, отвечающий за создание батников (видимо, это свидетельствует о невысоком уровне троянописателя):
    Код:
       LáH     -***                   0;aHR0cA== Links Length Item Links Length Item 
    Body InnerText InnerHTML %ok% yesdelip yesdelver 0;ZGF0ZS5iYXQ= open / 

 
 0;cGluZyAyMTMuMTgwLjIwNC44  ( % , not yesclick Item Click 0;VkZQQURCQy5UWFQ= 
 
 
 
 w %s = = 0;VkZQQURCQy5UWFQ= 0;VkZQQURCQy5UWFQ= hh:mm hh:mm hh:mm : at /delete /yes at   /interactive /every:1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31  "C:\WINDOWS\system32\del.bat" date.bat w %s 
 
del date.bat del " \sv¸hþst"
 \msdtcvrr.bat"
 \VFPADBC.txt"
 \shlwapi.exe"
 at /delete /yes
 del.bat w %s del del.bat DEL /F /S /Q "%USERPROFILE%\Cookies\*.txt"
 0;ZGVsY29va2VzLmJhdA== w 0;ZGVsIGRlbGNvb2tlcy5iYXQ= %s yes 1 2 3 4 5 6 7 8 9 10 11 0 0;ZGVsY29va2VzLmJhdA== open m_Dispatch != 0 c:\program files\borland\cbuilder6\include\vcl\utilcls.h this->get_Document((LPDISPATCH*)&pp
    Строка «VkZQQURCQy5UWFQ=» это закодированное в base64 имя файла:VFPADBC.TXT. В нём оказалось следующее:
    Код:
    10
11.11.2009
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9eWVzY2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9bm90Y2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L3N0YXRsaXN0MjAxMG5ldy9jbGlja19uYXR1cmFsLnBocD95ZXNjbGlrPTE=
    Это также закодированные адреса, в частности http://start-live.net.ru/countipnew....=yesclick&user
    Последний раз редактировалось AndreyKa; 02.06.2010 в 15:26. Причина: Убрал карантин
    Ответить с цитированием Ответить с цитированием
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
« Предыдущая тема | Следующая тема »

Похожие темы

  1. Trojan.Siggen1.29630 -подскажите, что делает?
    От Artik в разделе Вредоносные программы
    Ответов: 4
    Последнее сообщение: 16.05.2010, 21:11
  2. Что делает этот Trojan?
    От nespin в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 30.12.2009, 21:16
  3. Компьютер делает что хочет
    От Катарина в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 04:48
  4. Подскажите что за вирус или троян?
    От welan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 23.05.2008, 18:51
  5. amvo0.dll - как удалить этот троян?
    От hasuhands в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.03.2008, 21:57

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума

Page generated in 0.01135 seconds with 16 queries