Показано с 1 по 2 из 2.

Trojan.PSW.Hapday

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Trojan.PSW.Hapday

    Этот троян обнаружен на ПК одного из учасников этой конференции и попал ко мне на анализ.
    Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет. При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.
    Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.
    В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?511443" и "GET top.list.ru/counter?id=619857;t=242;js=13;r=...."
    Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.
    Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых, если мне не изменяет память, ICQ хранит настройки (т.е. поиском файлов *.dat по забитым в тело трояна директориям он находит настройки ICQ). Письма отправляются судя по всему на spy_data@mail.ru

    Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида katya@mail.ru, svetik@mail.ru, hacker@mail.ru ...
    Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться нескольких экземпляров трояна.
    В теле трояна есть адрес хттп://anechka18.at.tut.by/logo.avi, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740

    Re:Trojan.PSW.Hapday

    Антивирь на проксе ссылку оценил:

    Dr.Web (R) daemon for Linux, version 4.32.2 (2004-11-01)
    /logo.avi
    reason:
    infected with Win32.HLLM.Reteras
    - deleted!

    ============================
    P.S. Aliases: W32.Sobig.E@mm, W32.Sobig.F@mm



Похожие темы

  1. Ответов: 1
    Последнее сообщение: 14.11.2010, 18:32
  2. Ответов: 14
    Последнее сообщение: 22.10.2010, 20:47
  3. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
    От v119 в разделе Описания вредоносных программ
    Ответов: 1
    Последнее сообщение: 15.03.2010, 13:56
  4. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:31
  5. Ответов: 11
    Последнее сообщение: 22.02.2009, 03:25

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00351 seconds with 16 queries