На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-PSW

Trojan-PSW.Win32.Hapday


Rootkit:  Нет

Этот троян обнаружен на ПК одного из учасников конференции virusinfo.
Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет.
При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.
Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.
В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?XXXXX" и "GET top.list.ru/counter?id=XXXXX;t=242;js=13;r=...."
Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.
Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых ICQ хранит настройки.

Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида katya@mail.ru, svetik@mail.ru, hacker@mail.ru ...
Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться несколько его экземпляров.
В теле трояна есть адрес, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.