Размер: 28,5 Кб
Time/Date Stamp (GMT): 24 февраля 2009 г. 16:27:33
http://www.virustotal.com/ru/analisis/c37dc61e6001a6c1dd5c8cce5e902489
Файл упакован UPX. Затем идет слой еще одного упаковщика, который выделяет память, расшифровывает туда каждую секцию файла, копирует, настраивает импорт и запускает на исполнение основную программу. Программа собирает различные сведения о системе: версия Windows, версия Internet Explorer, какой антивирус установлен, количество сетевых соединений и т.д. Затем собранные данные шифруются (xor) и кодируются в BASE64 для отправки на адрес:
http://traff.loadmore.eu.
Запускается дополнительно еще один поток, который ждет соединения на 10100 порту. При установлении соединения, если пришло слово ‘PING’, шлет в ответ слово ‘PONG’. Кроме того, программа умеет скачивать в папку TEMP файлы и запускать их на исполнение.
2009, GMax
e_gmax@mail.ru
Комментариев нет:
Отправить комментарий