Размер: 291.50 Kb
Date/Time Stamp(GMT): 31.03.2008 7:46
www.virustotal.com
www.threatexpert.com
Файл обернут криптором с множеством анти-отладочных приемов. Расшифровывает из своего тела 3 файла (svvghost.exe, exploree.exe, shl.exe) и записывает их в папку WINDOWS и запускает.
Имя файла: svvghost.exe
Размер: 98.50 Kb
Date/Time Stamp(GMT): 14.12.2007 10:31
www.virustotal.com
www.threatexpert.com
Программа обработана тем же криптором, что и дропер. Написана на Delphi. Очередная версия трояна вымогателя SMSer. Блокирует загрузку в безопасном режиме командой REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /f.
Слово для разблокировки – пользователя.Имя файла: exploree.exe
Размер: 66.50 Kb
Date/Time Stamp(GMT): 15.06.2008 23:07
www.virustotal.com
www.threatexpert.com
После слоя криптора идет попытка отключить Kaspersky антивирус, эта часть программы называется AVPKill. Троян ищет окна относящиеся к антивирусу и с помощью эмуляции нажатия клавиш закрывает окна с предупреждением и вносит в исключения. Программа рассчитана как на русский, так и английский интерфейс антивируса.
Далее троян собирает пароли от следующих программ:
Bat!
ICQ Mirabilis
R&Q
Trillian
RasPhone
Total Commander
Becky!
Internet Account Manager
CuteFTP
Edialer
Far FTP
Ipswitch
Opera
Firefox
QIP
Thunderbird
Mail.Ru Agent
Eudora
Punto Switcher
Outlook
Gaim
FileZilla
Flash FXP
Windows Live
SmartFTP
CoffeeCup
USDownloader
FTP Commander
Затем собранную информацию отсылает по адресу: www.mriya.net/img/icon/dfFgj5.php
Имя файла: shl.exeРазмер: 94.00 Kb
Date/Time Stamp(GMT): 07.06.2009 20:10
www.virustotal.com
www.threatexpert.com
Уже описываемый троян Zevs/Zbot с небольшими изменениями,
C&C находится по адресу:http://b18c.cn/pn/config.bin.
1 комментарий:
Кстати, если вам вдруг захочется заблокировать какой-либо сотовый телефон или другое средство связи, то попробуйте воспользоваться для этого Блокираторы мобильной связи.
Отправить комментарий