На данный момент о нём известно - имя файла контейнера - фиксированное,
имя архива - может меняться, но вариации не значительны, контрольные
суммы - MD5 и SHA-1, размер, время и дата модификации (штамп времени),
внутренний формат. Берите, что у нас есть и проверяйте на совпадение
данных признаков:
Код:
MD5SUM : b50c6d9bccf5026afa93375f1479b485 *vsoConvertXtoDVD3.1.3.36.exe
SHA-1 : 5f08afbf3c2b8b015b4c8793958076061e607b98 *vsoConvertXtoDVD3.1.3.36.exe
Size: 16652800 byte
Name: vsoConvertXtoDVD3.1.3.36.exe
Время/дата : 02.07.08 23:42
Данный комплект распространяется похоже с Запада - это статистика которую вытащил мой товарищ из списков паролей на сервере. По его словам западные адреса там составляли 90% - 95% адресов машин-отправителей.
Вот, что есть у меня:
Картинка scr1.png - это вид контейнера. Открыт как архив в Far Manager, Scr2.jpg (JPEG портит изображение) - внутрення структура переименованного оригинального инсталлятора открытого в Far как архив, scr3.jpg - то же, но вирусного пакета.
Вот один из первых моих опытов:
2.exe - набор из троянов и руткитов. От меня они ломились куда-то, да фокус не вышел - я эту дрянь запустил на ноуте где винт стоит всего на 5 Гб и сети нету как явления из под BSD + WINE. Понаблюдал сию "мышиную возню", и закрыл лавочку сняв питание. Пара руткитов там сидит, это точно. Формат одного ELF, "заточен" под ядро 2.6.х.х LINUX. Что не удивительно - как платформа LINUX достаточно популярна, и этого кое-кому достаточно.
Эксперимент проводился на старом RoverBook FT5 (C3-800/128 Mb RAM/SiS 315/5 Gb HDD) под FreeBSD 6.3 + WINE 1.0 специально для этого установленными на данную машину.
Вот мой ответ на вопрос одного из пользователей:
В.
"я немного протупил, не прочитал посты что дальше идут и скачал то, что выложили вышеуказанные "товарищи". Но не успел запустить файлы из архива. Как думаешь, трояны ничего не сделали если я их не запускал?"
О.
Если не запускал "инсталлятор", то ничего страшного. С "подарком" можно справится легко: открой в Winrar архив, переименуй установщик в *.cab (в принципе можно и не делать, да так спокойнее) и спокойно вытаскивай оттуда 1.ехе. Потом переименуй его так, как был назван инсталлятор. А *.cab удали из архива. По крайней мере у Nuclears он не блокирован, архивы с 2baksa обычно блокированы. Всё. Зараза обезврежена.
Информация моих товарищей:
"В "инсталляции" 3.1.2.36 - троян. Сама инсталляция представляет собой sfx-архив (WinRar'ом распаковывается). Внутри лончер, оригинальная инсталляция ConvertXtoDVD (1.exe) и "зоопарк" в файле 2.exe. При запуске в темп распаковывается несколько программ из 2.exe и запускаются по очереди. Достаёт пароли с IE и Firefox'а (складывает в темп в простых текстовых файлах), потом эти файлы заливает по ftp (с логином и паролем), предварительно разрешив в фаерволе доступ по FTP без запроса. Нигде себя не прописывает.
Зашёл на тот FTP - там уже тысячи файлов с паролями жертв. Удалил сколько смог."
"Вообще данная версия была выложена на форуме VSO (бета, с исправленными ошибками предыдущего релиза), на оффсайте не выкладывалась. Но на форуме она была чистая - обыкновенная инсталляция, без троянов. Заразу добавили потом, "релиз" с трояном засветился сначала на западе, разошёлся по западным варезникам, а потом уже попал к нам. Так что никто, в общем-то, не виноват.
Судя по географии заражённых машин (статистика с FTP с паролями), 90-95% заражений - запад.
Очень забавно было видеть в файлах с паролями последней строкой адрес какого-нибудь варезника с темой про VSO ConvertXtoDVD. Но меня терзают смутные сомнения, что он используется не только с сабжевой программой.
Насчёт последней официальной версии на сайте VSO - Касперский ругается при попытке её скачивания, но это ошибочное срабатывание, версия чиста.
Официальный представитель VSO отписался по этому поводу на форуме Касперски Лаб в теме по данному трояну.
Вообще троян сделан просто, но довольно прилежно - ни вся сборка в целом, ни каждая отдельная утилита, содержащаяся в нём, ничем не определялись на вирустотале. Единственная ошибка - троянописатели поленились настроить FTP так, чтобы туда можно было заливать файлы, но нельзя было увидеть список уже лежащих там файлов. Тогда вся схема была бы почти идеальна."