Размер: 217 Кб
http://www.virustotal.com/ru/analisis/f1623f018c7827fe11eca39e0477275a
Размер файла искусственно увеличен ненужным мусором, истинный размер 41 Кб.
С начала расшифровывается (xor 52h) небольшой кусочек кода, далее еще один (xor 7Ah), затем еще один цикл расшифровки. Далее три зашифрованные секции поочередно расшифровывается с копированием содержимого в другие секции. После вот таких “хитроумных” манипуляций мы попадаем на OEP. Как и утверждают, большинство AV программа оказалась трояном Zeus, функции которой давно описаны, а билдер и админка легко доступны в сети. Ключевые действия это инжект в winlogon.exe, перехват трафика, подмена выбранных сайтов, кража паролей, умеет делать скриншоты, крадет сертификаты и еще кое-что по мелочи. Данный билд был настроен на адрес: http://hopana.info/web/cfg.bin
Интересно, что билдер (Control Panel) производит не совсем стандартные действия: поиск бота в системе, предоставляет информацию о версии трояна и самое интересно производит деинсталляцию.
2009, GMaxe_gmax@mail.ru
Комментариев нет:
Отправить комментарий