Зайцев Олег
23.11.2004, 17:56
Этот троян обнаружен на ПК одного из учасников этой конференции и попал ко мне на анализ.
Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет. При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.
Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.
В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?511443" и "GET top.list.ru/counter?id=619857;t=242;js=13;r=...."
Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.
Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых, если мне не изменяет память, ICQ хранит настройки (т.е. поиском файлов *.dat по забитым в тело трояна директориям он находит настройки ICQ). Письма отправляются судя по всему на [email protected]
Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида [email protected], [email protected], [email protected] ...
Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться нескольких экземпляров трояна.
В теле трояна есть адрес хттп://anechka18.at.tut.by/logo.avi, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).
Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет. При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.
Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.
В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?511443" и "GET top.list.ru/counter?id=619857;t=242;js=13;r=...."
Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.
Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых, если мне не изменяет память, ICQ хранит настройки (т.е. поиском файлов *.dat по забитым в тело трояна директориям он находит настройки ICQ). Письма отправляются судя по всему на [email protected]
Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида [email protected], [email protected], [email protected] ...
Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться нескольких экземпляров трояна.
В теле трояна есть адрес хттп://anechka18.at.tut.by/logo.avi, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).