Размер: 12,5 Кб.
Time/Date Stamp (GMT): 8 октября 2008 г. 11:48:27
http://www.virustotal.com/ru/analisis/53db5f6455350dabcfff3e8c43945cb0
Сверху на файл накручен UPX. Распакованный файл порядка 120 Кб. В первую очередь проверяется не запущен ли уже такой процесс, после этого расшифровывается блок строковый данных. Далее ищутся адреса функций для чистки кеша Url (DeleteUrlCacheEntry), во встроенный брандмауэр windows добавляется правило для работы с сетью. Производится поиск пароль/логин для входа в FTP, в стандартных для этого местах (wcx_ftp.ini, “Software\Ghisler\Total Commander” и т.д.), потом программа заходит на эти FTP и ищет там файлы следующих названий:
index.htm
main.htm
default.htm
index.php
main.php
default.php
Как уже можно было догадаться троян распространяется оригинальным способом, ищет у пользователя пароля к FTP, если это так, то проверяется наличие сайта на FTP. Если троян находит один из этих файлов, то в конце главной страницы добавляется новый фрейм ведущий на сайт http://live-counter.net:
2008, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий