Размер: 3,22 Кб
http://www.virustotal.com/ru/analisis/e00e1131bbac6845be88b917ce04e6ab
Файл упакован WinUpack. При старте проверяет командную строку, если нет команды START, то перезапускает себя с этой командой. Далее находит адреса функций IcmpSendEcho и IcmpCreateFile. После этого ставит себя в автозагрузку. Затем определяет доступен ли Интернет, по адресам www.google.com, www.microsoft.com, www.yahoo.com. Если хоть один из них доступен, расшифровывает с помощью побайтового xor адреса своих командных центров:
http://goffhouseinn.com/tmp/.images/data.php,
http://sexygaby.com/cache/.images/data.php,
http://nimbarka.com/tmp/.images/data.php
Командный центр отвечает по одному из 4 заложенных в программу сценариев. Три первых это DDOS какого-либо сайта, в первом случаи просто запрос по TCP c валидными параметрами, во втором это UDP запрос, в третьем это ping (ICMP запрос). Четвертый вариант задания это скачивание и запуск программы.2008, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий