воскресенье, 14 декабря 2008 г.

Trojan.Win32.Agent.sbl

Имя файла: ise32.exe
Размер: 32,6 Кб
Time/Date Stamp (GMT): 18 июня 2008 г. 14:48:58
http://www.virustotal.com/ru/analisis/c4b009d3bfc762e4dc4ebc9af860fd85

Программа не имеет защитных слоев, анти-отладочных трюков, единственное, что сделал автор это шифрация строк, почти все из которых являются именами функций. Далее выясняется, что это своего рода установщик. Программа распаковывает с помощью функции RtlDecompressBuffer вторую программу.
Размер: 13,5 Кб
Time/Date Stamp (GMT): 27 марта 2008 г. 21:42:46
http://www.virustotal.com/ru/analisis/3a844fca69837b656a2e9762c3e23498
В новой программе похожие трюки с шифрованием строк. Ищет процесс explorer.exe и внедряется в него. Соединяется с сайтом b.ircstyle.net:7000 по протоколу IRC и ждет заданий. Троян может скачивать и запускать файлы. Скрывается в папке c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

2008, GMax
e_gmax@mail.ru

Комментариев нет: