Backdoor.Win32.IRCBot.gen

Имя файла: msdrv32.exe
Размер: 56.00 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Файл ни чем не обработан. Вначале идет код для определения отладки и запуска под VMware. Затем по несложному алгоритму расшифровываются строки (имена функций). Затем расшифровывается из ресурсов основная программа. Далее запускается процесс explorer.exe производится инжект и запуск.
Размер: 46.50 Kb
Date/Time Stamp(GMT): 18.07.2009 8:06
www.virustotal.com
www.threatexpert.com
Вначале инициализируется импорт. Затем исполняемый файл копируется в “WINDOWS\msdrv32.exe”, устанавливается в автозагрузку через “ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\” и “ SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\” имя ключа “ Microsoft Driver Setup”. Далее в реестр прописывается исключения встроенного фаервола, запускаются два дополнительных потока, просматривающих списки из 258 и 135 соответственно имен файлов, и в случае нахождения процесса завершающие его. Затем бот соединяет с командным центром по протоколу IRC и выполняет задания. Бот умеет сканировать порты, скачивать и запускать программы и свои обновления и т.д. Для получения внешнего IP адреса бот опрашивает один из четырех прокси серверов:
http://www.mcreate.net/cgi-bin/envchk/prxjdg.cgi
http://kuwago.hp.infoseek.co.jp/cgi-bin/nph/prxjdg.cgi
http://www.cooleasy.com/cgi-bin/prxjdg.cgi
http://www.cship.info/cgi-bin/prxjdg.cgi
Командный центр по адресу www.messenger.tinypic.name.

Trojan.Win32.Vaklik.fie

Имя файла: foto20.scr
Размер: 291.50 Kb
Date/Time Stamp(GMT): 31.03.2008 7:46
www.virustotal.com
www.threatexpert.com
Файл обернут криптором с множеством анти-отладочных приемов. Расшифровывает из своего тела 3 файла (svvghost.exe, exploree.exe, shl.exe) и записывает их в папку WINDOWS и запускает.
Имя файла: svvghost.exe
Размер: 98.50 Kb
Date/Time Stamp(GMT): 14.12.2007 10:31
www.virustotal.com
www.threatexpert.com
Программа обработана тем же криптором, что и дропер. Написана на Delphi. Очередная версия трояна вымогателя SMSer. Блокирует загрузку в безопасном режиме командой REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /f.Слово для разблокировки – пользователя.
Имя файла: exploree.exe
Размер: 66.50 Kb
Date/Time Stamp(GMT): 15.06.2008 23:07
www.virustotal.com
www.threatexpert.com
После слоя криптора идет попытка отключить Kaspersky антивирус, эта часть программы называется AVPKill. Троян ищет окна относящиеся к антивирусу и с помощью эмуляции нажатия клавиш закрывает окна с предупреждением и вносит в исключения. Программа рассчитана как на русский, так и английский интерфейс антивируса.
Далее троян собирает пароли от следующих программ:
Bat!
ICQ Mirabilis
R&Q
Trillian
RasPhone
Total Commander
Becky!
Internet Account Manager
CuteFTP
Edialer
Far FTP
Ipswitch
Opera
Firefox
QIP
Thunderbird
Mail.Ru Agent
Eudora
Punto Switcher
Outlook
Gaim
FileZilla
Flash FXP
Windows Live
SmartFTP
CoffeeCup
USDownloader
FTP Commander
Затем собранную информацию отсылает по адресу: www.mriya.net/img/icon/dfFgj5.php Имя файла: shl.exe
Размер: 94.00 Kb
Date/Time Stamp(GMT): 07.06.2009 20:10
www.virustotal.com
www.threatexpert.com
Уже описываемый троян Zevs/Zbot с небольшими изменениями, C&C находится по адресу:
http://b18c.cn/pn/config.bin.

Trojan-Ransom.Win32.SMSer.ee

Имя файла: SiteAccess.dll
Размер: 37.50 Kb
Date/Time Stamp(GMT): 22.06.2009 14:04
www.virustotal.com
Файл обернут слоем краптора. Сначала троян проверяет в адресном пространстве какого процесса он находится, если это не iexplore.exe, opera.exe, firefox.exe, chrome.exe, то троян просто завершает свою работу. Если библиотека загружена в один из перечисленных браузеров, то производится перехват функций для работы по сети: send, recv, WSASend, WSARecv, socket, closesocket, connect, WSAConnect, select. Троян осуществляет подмену выдачи Интернет запросов браузера. Технически это достигается добавлением в код страницы следующего фрейма:
Рекламный банер для показа берется с адреса: http://sex-bot.biz/plugin/showbanners.php.

Trojan.Win32.Agent.cmkg

Имя файла: proquota.exe
Размер: 45.00 Kb
Date/Time Stamp(GMT): 21.01.2006 17:24
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. Исполнение кода начинается с инициализации импорта, по хешу от имени. Затем идет инициализация констант в зависимости от версии Windows. Строки зашифрованы алгоритмом основанном на xor, каждая строка расшифровывается непосредственно перед использованием, а после вновь зашифровывается. Далее идет процедура поиска сплайсинга некоторых системных функций из kernal32.dll и ntdll.dll и снятия путем сопоставления первых 7 байтов функции в памяти и в файле. Если файл еще не установлен в систему, то производится его установка. Файл копируется в “System32\Wbem\proquota.exe” и ему выставляется время создания идентичное файлу “smss.exe”. Заменяет файл “System32\dllcache\proquota.exe”. Автозагрузка производится через ветку “Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota”.
Затем из тела файла расшифровывается файл (18.55 Кб) и создается дополнительный поток созданного “зомби” процесса “svchost.exe”.
Имя файла: file.exe
Размер: 18.55 Kb
Date/Time Stamp(GMT): 10.06.2009 14:01
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. В первую очередь расшифровываются строки, затем инициализируется импорт.
Программа занимается тем, что ищет на диске и в реестре логины и пароли в местах, где их обычно хранят программы для работы с FTP. Найденные данные троян отправляет по адресу jarus1.ru.