Подскажите что делает этот троян
К сожалению, на virustotal.com его не определяет ни один антивирус, поэтому прикладываю его во вложении, пароль: virus.
[url]http://www.virustotal.com/ru/analisis/38adebea8f27e9bfbb0dd490242e6e193d0b13646962d2d8cc1a728ed9dcff6c-1274516553[/url]
[url]http://www.virustotal.com/ru/analisis/bafdf18f4b1e02464679c58587f40ae62eabc1fea4020fe803412e6249cb673d-1275470748[/url]
Мои наблюдения по этому поводу.
Внешний вид:
В названии «wmiарsrv.exe», буква «а» - русская.
В описании «Cлужбa aдaптeрa прoизвoдитeльнocти WМI», буква «M» также русская.
Находились они в %windir%\system32\
cisv.exe был прописан в шедулере виндовс.
Файлы скомпилированы с помощью Borland C++.
В коде wmiарsrv.exe виден понятный кусок, отвечающий за создание батников (видимо, это свидетельствует о невысоком уровне троянописателя):
[code] LáH -*** 0;aHR0cA== Links Length Item Links Length Item
Body InnerText InnerHTML %ok% yesdelip yesdelver 0;ZGF0ZS5iYXQ= open /
0;cGluZyAyMTMuMTgwLjIwNC44 ( % , not yesclick Item Click 0;VkZQQURCQy5UWFQ=
w %s = = 0;VkZQQURCQy5UWFQ= 0;VkZQQURCQy5UWFQ= hh:mm hh:mm hh:mm : at /delete /yes at /interactive /every:1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 "C:\WINDOWS\system32\del.bat" date.bat w %s
del date.bat del " \sv¸hþst"
\msdtcvrr.bat"
\VFPADBC.txt"
\shlwapi.exe"
at /delete /yes
del.bat w %s del del.bat DEL /F /S /Q "%USERPROFILE%\Cookies\*.txt"
0;ZGVsY29va2VzLmJhdA== w 0;ZGVsIGRlbGNvb2tlcy5iYXQ= %s yes 1 2 3 4 5 6 7 8 9 10 11 0 0;ZGVsY29va2VzLmJhdA== open m_Dispatch != 0 c:\program files\borland\cbuilder6\include\vcl\utilcls.h this->get_Document((LPDISPATCH*)&pp[/code]
Строка «VkZQQURCQy5UWFQ=» это закодированное в base64 имя файла:VFPADBC.TXT. В нём оказалось следующее:
[code]10
11.11.2009
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9eWVzY2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9bm90Y2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L3N0YXRsaXN0MjAxMG5ldy9jbGlja19uYXR1cmFsLnBocD95ZXNjbGlrPTE=[/code]
Это также закодированные адреса, в частности [url]http://start-live.net.ru/countipnew.php?ver=0.6&click=yesclick&user[/url]
