четверг, 11 декабря 2008 г.

Trojan.Win32.Agent.afjd

Имя файла: windgxse.exe
Размер: 7,5 Кб
Time/Date Stamp (GMT): 30 сентября 2008 г. 20:20:45
http://www.virustotal.com/ru/analisis/766cca7ccda53dd0c5bad036560a964b
Файл сжат UPX. Никаких трюков затрудняющих анализ нет. После распаковки весь арсенал трояна, как на ладони:

Троян представляет собой прокси сервер. При запуске троян проверяет, не запущен ли он уже, с помощью мютекса S_SERVkj. После старта программа запускает два потока, один посылает запросы, другой отправляет их на сервер. Программа добавляет себя в список достоверных приложений встроенного файрвола windows. Затем программа идет по адресу http://216.32.75.74/h2/?s=%d (хостер http://steephost.com) и получает в ответ строку, которую она ксорит побайтно числом 66h. После расшифровки эта строка оказывается адресом, у меня были адреса того же хостинга (216.32.75.74, 212.95.37.167), видимо это и есть управляемая автором часть бота. Кроме того, есть код, который производит соединение с популярными серверами электронной почты, но эта часть программы не работает.
2008, GMax
e_gmax@mail.ru

Комментариев нет: