Размер: 9,98 Кб
Time/Date Stamp (GMT): 21 января 2009 г. 10:19:48
http://www.virustotal.com/ru/analisis/2a545fef44918ac8f0d982dd25d478e8
Программа обильно разбавлена мусорным кодом. В начале инициализируется импорт предварительно расшифрованными (xor) строками. Далее расшифровывается основная часть программы, выполненная в виде отдельной библиотеки, копируется в специально выделенный участок памяти, производится инициализация и запускается на выполнение.
Размер: ~16 Кб
Time/Date Stamp (GMT): 14 декабря 2008 г. 21:56:31
http://www.virustotal.com/ru/analisis/2f3628dab95e4aa13a6797cdd8506ec3
После инициализации импорта проверяется наличие в системе сервиса ndis_ver2, в случаи, если сервис найден, файл самоудаляется. Отключается встроенный фаервол Windows. Копирует себя в USERPROFILE каталог, делает файл скрытым, ставит себя в автозагрузку в реестре “Software\Microsoft\Windows\CurrentVersion\Run”. Перебирает все процессы в системе и делает инжект своего кода. На основе уникальных данных машины (в том числе и S.M.A.R.T.), составляется идентификационная строка для данного компьютера. Далее бот передает эту строку на один из своих командных центров, программой предусмотрено наличие множества C&C, которые перебираются на доступность один раз в 20 секунд, кроме того адреса хранятся не в виде строк, а в числовом виде. В данном экземпляре предусмотрено два адреса: 69.147.239.106 и 94.103.4.217.
Далее бот скачивает с командного центра файл и либо сохраняет его на диск в папку TEMP под именем (первые две буквы BN затем цифры) и запускает на исполнение, либо создает зомби процесс svchost.exe копирует в память скаченный файл и запускает. 2009, GMax
e_gmax@mail.ru
