-
Junior Member
- Вес репутации
- 52
Подскажите что делает этот троян
К сожалению, на virustotal.com его не определяет ни один антивирус, поэтому прикладываю его во вложении, пароль: virus.
http://www.virustotal.com/ru/analisi...f6c-1274516553
http://www.virustotal.com/ru/analisi...73d-1275470748
Мои наблюдения по этому поводу.
Внешний вид:
В названии «wmiарsrv.exe», буква «а» - русская.
В описании «Cлужбa aдaптeрa прoизвoдитeльнocти WМI», буква «M» также русская.
Находились они в %windir%\system32\
cisv.exe был прописан в шедулере виндовс.
Файлы скомпилированы с помощью Borland C++.
В коде wmiарsrv.exe виден понятный кусок, отвечающий за создание батников (видимо, это свидетельствует о невысоком уровне троянописателя):
Код:
LáH -*** 0;aHR0cA== Links Length Item Links Length Item
Body InnerText InnerHTML %ok% yesdelip yesdelver 0;ZGF0ZS5iYXQ= open /
0;cGluZyAyMTMuMTgwLjIwNC44 ( % , not yesclick Item Click 0;VkZQQURCQy5UWFQ=
w %s = = 0;VkZQQURCQy5UWFQ= 0;VkZQQURCQy5UWFQ= hh:mm hh:mm hh:mm : at /delete /yes at /interactive /every:1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 "C:\WINDOWS\system32\del.bat" date.bat w %s
del date.bat del " \sv¸hþst"
\msdtcvrr.bat"
\VFPADBC.txt"
\shlwapi.exe"
at /delete /yes
del.bat w %s del del.bat DEL /F /S /Q "%USERPROFILE%\Cookies\*.txt"
0;ZGVsY29va2VzLmJhdA== w 0;ZGVsIGRlbGNvb2tlcy5iYXQ= %s yes 1 2 3 4 5 6 7 8 9 10 11 0 0;ZGVsY29va2VzLmJhdA== open m_Dispatch != 0 c:\program files\borland\cbuilder6\include\vcl\utilcls.h this->get_Document((LPDISPATCH*)&pp
Строка «VkZQQURCQy5UWFQ=» это закодированное в base64 имя файла:VFPADBC.TXT. В нём оказалось следующее:
Код:
10
11.11.2009
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9eWVzY2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L2NvdW50aXBuZXcucGhwP3Zlcj0wLjYmY2xpY2s9bm90Y2xpY2smdXNlcg==
0;aHR0cDovL3N0YXJ0LWxpdmUubmV0LnJ1L3N0YXRsaXN0MjAxMG5ldy9jbGlja19uYXR1cmFsLnBocD95ZXNjbGlrPTE=
Это также закодированные адреса, в частности http://start-live.net.ru/countipnew....=yesclick&user
Последний раз редактировалось AndreyKa; 02.06.2010 в 15:26.
Причина: Убрал карантин
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: