пятница, 19 декабря 2008 г.

Trojan.Spambot (spm v602)

Имя файла: update.exe
Размер: 39 Кб
Time/Date Stamp (GMT): 27 сентября 2008 г. 9:27:47
Trojan.Win32.Pakes.ldv
http://www.virustotal.com/ru/analisis/b15abee393409dfa14cd4eedff45072a
Первым делом программа проверяет, не запущенна ли она под виртуальной машиной. Первый слой трояна расшифровывает основное тело, применен оригинальный метод пересылки данный через пайп (Pipe).
Размер расшифрованного файла 33,5 Кб.
Time/Date Stamp (GMT): 22 июля 2008 г. 13:06:12
http://www.virustotal.com/ru/analisis/cb7239534bfd03b72407cedfd53bab94
Сначала троян по не хитрому алгоритму расшифровывает текстовые строки. Строки представляют собой имена функций (в основном для работы с реестром) и команды для отключения встроенного в windows фаервола. Затем программа останавливает сервисы wscsvc и sharedaccess, отключает встроенный брандмауэр и блокирует его старт при следующей загрузке системы. Кроме того, троян создает поток, который периодически повторяет отключение брандмауэра и ставит программу в автозагрузку. Следом за этим программа расшифровывает из своего тела непосредственно функциональную часть, которая является библиотекой, грузит ее в память и вызывает функцию под названием load.Размер расшифрованной библиотеки: 25,5 Кб.
Time/Date Stamp (GMT): 9 октября 2006 г. 21:32:06
http://www.virustotal.com/ru/analisis/5179d521778c3f776476634a038879d4
При инициализации библиотека расшифровывает IP адрес 66.232.109.178.Троян скачивает файл, парсит его, извлекая из тегов {info}…{/info}, {emails}…{/emails}, {text}…{/text} информацию, удаляет полученный файл. Затем из этой информации формируется письмо и оправляется по заданному адресу, а на сайт уходит подтверждение в виде рапорта.
2008, GMax
e_gmax@mail.ru

Комментариев нет: