среда, 26 ноября 2008 г.

Trojan-Downloader.Agent.agpd

Имя файла: userinit.exe. Размер: 8 Кб.
http://www.virustotal.com/ru/analisis/2ef739e391b485e8d1e95128be23c516
Первым делом троян проверяет не запущен ли он под отладкой с помощью функций IsDebuggerPresent и GetTickCount. Затем идет расшифровка основного тела, здесь автор подошел нестандартно. Сначала по заложенному в программе хешу находятся функции CreateToolhelp32Snapshot и GetVolumeInformationA, но совершенно не для того, что бы их исполнять, автору нужны именно строки, они являются ключом для расшифровки основного тела трояна.
Далее по хешам берутся нужные API функции. Для закрепления в системе переписывается файл userinit.exe, предварительно отключив его защиту. Оригинальный файл предусмотрительно сохраняется под именем stus.exe. Файл userinit.exe является “приложением для входа в систему” без него юзеру невозможно залогиница в систему. Нельзя просто удалить файл, не заменив его оригиналом.
Троян стучит на сайт www.bot-tob.ru\hottop\gate.php?id=%S, скачивает и запускает файлы. По функциональным возможностям бот ничем особым не выделяется, интересен необычный творческий подход к расшифровке и проблемы при неосмотрительном удалении без замены на оригинальный файл. Удалив файл, антивирус выведет систему из строя.

Вот здесь, кстати, уже проводилось вскрытие этого бота:
http://realsecurity.wordpress.com/2008/09/01/
2008, GMax
e_gmax@mail.ru

Комментариев нет: