суббота, 11 июля 2009 г.

Trojan-Ransom.Win32.SMSer.ee

Имя файла: SiteAccess.dll
Размер: 37.50 Kb
Date/Time Stamp(GMT): 22.06.2009 14:04
www.virustotal.com
Файл обернут слоем краптора. Сначала троян проверяет в адресном пространстве какого процесса он находится, если это не iexplore.exe, opera.exe, firefox.exe, chrome.exe, то троян просто завершает свою работу. Если библиотека загружена в один из перечисленных браузеров, то производится перехват функций для работы по сети: send, recv, WSASend, WSARecv, socket, closesocket, connect, WSAConnect, select. Троян осуществляет подмену выдачи Интернет запросов браузера. Технически это достигается добавлением в код страницы следующего фрейма:
Рекламный банер для показа берется с адреса: http://sex-bot.biz/plugin/showbanners.php.

Комментариев нет: