Размер: 45.00 Kb
Date/Time Stamp(GMT): 21.01.2006 17:24
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. Исполнение кода начинается с инициализации импорта, по хешу от имени. Затем идет инициализация констант в зависимости от версии Windows. Строки зашифрованы алгоритмом основанном на xor, каждая строка расшифровывается непосредственно перед использованием, а после вновь зашифровывается. Далее идет процедура поиска сплайсинга некоторых системных функций из kernal32.dll и ntdll.dll и снятия путем сопоставления первых 7 байтов функции в памяти и в файле. Если файл еще не установлен в систему, то производится его установка. Файл копируется в “System32\Wbem\proquota.exe” и ему выставляется время создания идентичное файлу “smss.exe”. Заменяет файл “System32\dllcache\proquota.exe”. Автозагрузка производится через ветку “Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota”.
Затем из тела файла расшифровывается файл (18.55 Кб) и создается дополнительный поток созданного “зомби” процесса “svchost.exe”.
Имя файла: file.exe
Размер: 18.55 Kb
Date/Time Stamp(GMT): 10.06.2009 14:01
http://www.virustotal.com
http://www.threatexpert.com
Файл обработан криптором. В первую очередь расшифровываются строки, затем инициализируется импорт.
Программа занимается тем, что ищет на диске и в реестре логины и пароли в местах, где их обычно хранят программы для работы с FTP. Найденные данные троян отправляет по адресу jarus1.ru.
Комментариев нет:
Отправить комментарий