понедельник, 29 декабря 2008 г.

Trojan-Downloader.Win32.Agent.apoa

Имя файла: nvsyst32.exe
Размер: 3,22 Кб
http://www.virustotal.com/ru/analisis/e00e1131bbac6845be88b917ce04e6ab
Файл упакован WinUpack. При старте проверяет командную строку, если нет команды START, то перезапускает себя с этой командой. Далее находит адреса функций IcmpSendEcho и IcmpCreateFile. После этого ставит себя в автозагрузку. Затем определяет доступен ли Интернет, по адресам www.google.com, www.microsoft.com, www.yahoo.com. Если хоть один из них доступен, расшифровывает с помощью побайтового xor адреса своих командных центров:
http://goffhouseinn.com/tmp/.images/data.php,
http://sexygaby.com/cache/.images/data.php,
http://nimbarka.com/tmp/.images/data.php

Командный центр отвечает по одному из 4 заложенных в программу сценариев. Три первых это DDOS какого-либо сайта, в первом случаи просто запрос по TCP c валидными параметрами, во втором это UDP запрос, в третьем это ping (ICMP запрос). Четвертый вариант задания это скачивание и запуск программы.
2008, GMax
e_gmax@mail.ru

Комментариев нет: