rubin
15.12.2007, 16:29
Распространяется через письма по e-mail, вроде:
Привет, посмотри мои фотки!
По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
- устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в
HKEY_USERS\%Profile%\Software\Microsoft\Windows\Cu rrentVersion\Run1\
- устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 0\
- в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как
BHO e3a729da-eabc-df50-1842-dfd682644311
magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
svchost.exe создает возможность работать в сети от имени зараженного компьютера.
mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.
Симптомы:
1. Возросший сетевой траффик
2. Возможны зависания компьютера, в редких случаях BSOD
Сами зловреды на сайте регулярно обновляются, но названия файлов, их поведение и местоположение неизменны :smile:
Привет, посмотри мои фотки!
По ссылке идет загрузка файла realfoto.exe - мой образец Trojan-Downloader.Win32.Zanoza.f (2617 байт, написан на C++, упакован FSG).
Пользователь вручную сохраняет файл, запускает, открывается сайт одной из службы знакомств.
Но параллельно, незаметно для пользователя, устанавливается соединение с yvon-publicidad.com и даунлоудер устанавливает новые файлы: в папку с realfoto.exe добавляются chkdsk1.exe, chkdsk2.exe, chkdsk3.exe, которые устанавливаются в систему:
- устанавливается magent.exe [бывший chkdsk3.exe = Email-Worm.Win32.Bagle, 32678 байт, не упакован, написан на C++] в папку %System32%, прописывается в
HKEY_USERS\%Profile%\Software\Microsoft\Windows\Cu rrentVersion\Run1\
- устанавливается svchost.exe в папку %Windir% [бывший chkdsk2.exe - Trojan-Proxy.Win32.Daemonize, 44032 байта, не упакован, написан на C++], прописывается в
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 0\
- в %System32% прописывается и mswapi.dll [бывший chkdsk1.exe - Trojan-Spy.Win32.Iespy, написан на C++, упакован FSG, 7216 байт], сохраняется как
BHO e3a729da-eabc-df50-1842-dfd682644311
magent.exe умеется общаться с сетью, умеет отправлять почту, что и делает, рассылая спам с зараженного компьютера.
svchost.exe создает возможность работать в сети от имени зараженного компьютера.
mswapi.dll является типичным шпионом, следя за действиями пользователя и транслируя по нужному адресу всю информацию.
Симптомы:
1. Возросший сетевой траффик
2. Возможны зависания компьютера, в редких случаях BSOD
Сами зловреды на сайте регулярно обновляются, но названия файлов, их поведение и местоположение неизменны :smile: