понедельник, 22 декабря 2008 г.

Trojan.Win32.Inject.low

Имя файла: load.exe
Размер: 17 Кб
http://www.virustotal.com/ru/analisis/f0d657b9d5700bee01aa9744b46ddd16
В файле практически нет строк в открытом виде, что необходимо для работы троян держит в зашифрованном виде. При необходимости расшифровывает нужные строки, использует, и зашифровывает обратно. Шифрование ведется с помощью не хитрой формулы: a[i]=(a[i]^(2*(i+1)))^7. Имена функций также не хранятся в открытом виде, используется хеш от имени. Программа записывает себя в автозапуск через ключ реестра: “SYSTEM\CurrentControlSet\Control\SecurityProviders” под именем digeste.dll.
Программа использует в качестве мютекса строку BYPPROCNET, которая также хранится в зашифрованном виде. Далее троян запускает зомби процесс svchost.exe и копирует в него файл, который содержится в секции данных в зашифрованном виде.
Размер: 9 Кб
Time/Date Stamp (GMT): 17 декабря 2008 г. 21:18:10
http://www.virustotal.com/ru/analisis/afd200551216d0f3401d8225289654a1
Сразу на точке входа троян инициализирует свой импорт, находит адреса нужных функций с помощью LoadLibrary и GetProcAddress. Причем имена функций не скрыты, а просто находятся в секции данных в открытом виде. Далее троян расшифровывает строки, которые содержат IP адрес сайта управляющего ботнетом 91.211.64.191. Бот скачивает и сайта файлы и запускает их на выполнение. Файлы могут быть запущенны под прикрытием процесса svchost.exe.2008, GMax
e_gmax@mail.ru

Комментариев нет: