http://www.virustotal.com/ru/analisis/3c3d601715ea6be505ed45839d45adba
Файл упакован UPX. После запуска троян с помощью sfc_os.dll отключает защиту файла ws2_32.dll (библиотека для работы с сетью), патчит (заражает) файл, переопределяя необходимые функции на свои обертки, таким образом, осуществляя фильтрацию всей информации передаваемой по сети. При таком трюке файл ws2_32.dll увеличился примерно на 30 Кб.
В этот достаточно не большой объем вместился код фильтрующий входящий и исходящий трафик. При обнаружении строк “se.begun.ru” или “autocontext.begun.ru” происходит замена ключевого идентификатора. Другими словами со всех сайтов, которые посетит пользователь и которые зарегистрированы на http://begun.ru средства от показа рекламы пойдут на счет владельца программы. Кроме данного сервиса автором заложена возможность фильтрация трафика для многих сайтов, вот список строк непонятно зачем оставленных автором:
'google-analytics. '
'se.begun.ru',
'sb.google.'
'counter.'
'ad'
'favicon.'
'tns-counter.'
'tx2.'
'bs.'
'an.'
'banner'
'google.'
'yandex.ru'
'search.msn.com'
'search.live.com'
'search.yahoo.com'
'sm.aport.ru'
'rambler.ru'
'go.mail.ru'
2008, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий