http://www.virustotal.com/ru/analisis/7bc35edd3ac095cb41d69c9e35fae72f
Файл как обычно обернут легким слоем шифрования. При начале работы первым делом ищутся необходимые API функции, затем собирается информация о пользователе имя компьютера, имя пользователя и модель процессора. Далее выделяется память и туда копируется весь файл и передается управление. Создается новый поток, в нем делается перехват функции LdrLoadDll, бот добавляется в список библиотек подгружаемых ко всем процессам.
При старте нового процесса перехватывается функция LdrLoadDll, а когда срабатывает перехват, делается перехват еще трех функций (WSAConnect, connect, send) библиотеки ws2_32.dll.
Когда пользователь делает запрос, бот стучит на сайт
voovle.info\new3.php
и отправляет информацию о новом компьютере в сети, готовом выполнять задачи. Бот умеет скачивать файлы и запускать их на выполнение, устанавливать драйвера уровня ядра.
2008, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий