Зайцев Олег
03.11.2004, 13:59
Сегодня у нас с вети была обнаружена новаю разновидность трояна Trojan.PSW.Linage (разновидность "e" по Касперскому) на одном из ПК. Я провел анализ этого троянца и вот его описание:
Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт. Внутри exe файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE).
Напоследок замечу, что этот троян не ловится многими антивирусами:
AntiVir TR/PSW.Linage.E (3.71 seconds taken)
Avast No viruses found (12.68 seconds taken)
BitDefender No viruses found (6.26 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web No viruses found (4.41 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus Trojan.PSW.Linage.e (4.27 seconds taken)
mks_vir No viruses found (2.13 seconds taken)
NOD32 No viruses found (2.95 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)
Не менее оригинален и находящийся в теле трояна текст, являющийся шаблоном для отправки письма - http://www.webshell.cn/[email protected]&mailbody= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx
Троян при первом запуске копирует себя в папку Program Files под именем explorer.exe и прописывает себя в автозагрузку классическим способом (ключ реестра Run, параметр LoadMeth1). Размер файла - 48640 байт. Внутри exe файла (в его хвосте) расположена библиотека, которая при запуске копируется трояном в папку System32 под именем htdll.dll (размер 22528, сжата UPX). Библиотека предназначена для реализации функций кейлоггера (это клавиатурный хук, который ко всему прочему импортирует winsock и судя по всему может передавать собранную информацию напрямую).
Троян может бороться с некоторыми Firewall (например, список exe оригинален - EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE).
Напоследок замечу, что этот троян не ловится многими антивирусами:
AntiVir TR/PSW.Linage.E (3.71 seconds taken)
Avast No viruses found (12.68 seconds taken)
BitDefender No viruses found (6.26 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web No viruses found (4.41 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus Trojan.PSW.Linage.e (4.27 seconds taken)
mks_vir No viruses found (2.13 seconds taken)
NOD32 No viruses found (2.95 seconds taken)
Norman Virus Control No viruses found (1.04 seconds taken)
Не менее оригинален и находящийся в теле трояна текст, являющийся шаблоном для отправки письма - http://www.webshell.cn/[email protected]&mailbody= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxx