Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um Trojan de DDoS (ataque de negação de serviço distribuído) do Win32 que foi distribuído por um hacker (ou grupo de hackers) em novembro de 2000. O cavalo de Tróia foi enviado como uma mensagem de e-mail com um arquivo anexado.

O texto e o cabeçalho da mensagem são exibidos da seguinte maneira:

————————————————– ——

De: World Travel Agency Ltd. [office4@worldtravel.com]
Enviada: 21 de novembro de 2000 17:31
Para: Todos os turistas e turistas
Assunto: Comemore o Novo Milênio!]

Agência de viagens mundiais Ltd.
359 BTC Drive
Caixa postal 134108
Seattle, WA 98108-23
EUA

Caro Sr / Sra

Comemore o novo milênio! Descubra o paraíso!

Oferecemos o pacote mais atrativo para as celebrações do Novo Milênio que você já viu.
Natureza pura, arquitetura moderna e alta tecnologia são fundidas para criar o resort perfeito.
Prises razoáveis, correção, serviços de alta qualidade.
Clique no arquivo zip abaixo para ver nossa oferta!
Faça seus vizinhos invejarem!

Cumprimentos,

————————————————– ——

O arquivo anexado pretende ser exibido como um arquivo ZIP, mas é um arquivo EXE do Windows com o seguinte nome:

"OFFER2001.ZIP [muitos espaços] .EXE"

Este é o "instalador" de Trojan que afetará um computador se for executado. Por causa de um truque de "espaços", ele será exibido como um arquivo .ZIP em muitos casos, o que poderia enganar o usuário para abri-lo.

Instalação

Quando o arquivo EXE (instalador do Trojan) é executado, ele extrai de si mesmo mais dois arquivos executáveis e os copia para o diretor do sistema Windows com os seguintes nomes:

MRE.DLL
SOUNDV.EXE

Em Win9x e WinNT, esses arquivos são registrados nas seções de execução automática de diferentes maneiras: sob o WinNT, o Trojan registra um arquivo SOUNDV.EXE no registro do sistema:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

Em Win9x, o arquivo DLL está registrado no arquivo SYSTEM.INI na seção [boot] a seguir:

drivers = mre.dll

O Trojan então exibe a seguinte mensagem de erro falsa:

Erro
Uma DLL requred não existe.

Uma DLL requred não existe

(o erro de gramática é deixado como está no código de Trojan).

O SOUNDV.EXE é o próprio Trojan DoS. O MRE.DLL é um pequeno programa que apenas executa o SOUNDV.EXE em cada execução. Como resultado, sob Win9x e WinNT, o componente SOUNDV.EXE será ativado.

DoS Attack

Quando este arquivo é executado (na próxima reinicialização do Windows), ele permanecerá ativo como um aplicativo oculto (serviço), depois ativará a opção de discagem automática nas configurações da Internet e executará um ataque DoS no servidor "kozirog.netissat .líquido".

Link para o original

Classe	Trojan-DDoS
Plataforma	Win32
Descrição	Detalhes técnicos Este é um Trojan de DDoS (ataque de negação de serviço distribuído) do Win32 que foi distribuído por um hacker (ou grupo de hackers) em novembro de 2000. O cavalo de Tróia foi enviado como uma mensagem de e-mail com um arquivo anexado. O texto e o cabeçalho da mensagem são exibidos da seguinte maneira: ————————————————– —— De: World Travel Agency Ltd. [office4@worldtravel.com] Enviada: 21 de novembro de 2000 17:31 Para: Todos os turistas e turistas Assunto: Comemore o Novo Milênio!] Agência de viagens mundiais Ltd. 359 BTC Drive Caixa postal 134108 Seattle, WA 98108-23 EUA Caro Sr / Sra Comemore o novo milênio! Descubra o paraíso! Oferecemos o pacote mais atrativo para as celebrações do Novo Milênio que você já viu. Natureza pura, arquitetura moderna e alta tecnologia são fundidas para criar o resort perfeito. Prises razoáveis, correção, serviços de alta qualidade. Clique no arquivo zip abaixo para ver nossa oferta! Faça seus vizinhos invejarem! Cumprimentos, ————————————————– —— O arquivo anexado pretende ser exibido como um arquivo ZIP, mas é um arquivo EXE do Windows com o seguinte nome: "OFFER2001.ZIP [muitos espaços] .EXE" Este é o "instalador" de Trojan que afetará um computador se for executado. Por causa de um truque de "espaços", ele será exibido como um arquivo .ZIP em muitos casos, o que poderia enganar o usuário para abri-lo. Instalação Quando o arquivo EXE (instalador do Trojan) é executado, ele extrai de si mesmo mais dois arquivos executáveis e os copia para o diretor do sistema Windows com os seguintes nomes: MRE.DLL SOUNDV.EXE Em Win9x e WinNT, esses arquivos são registrados nas seções de execução automática de diferentes maneiras: sob o WinNT, o Trojan registra um arquivo SOUNDV.EXE no registro do sistema: SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe Em Win9x, o arquivo DLL está registrado no arquivo SYSTEM.INI na seção [boot] a seguir: drivers = mre.dll O Trojan então exibe a seguinte mensagem de erro falsa: Erro Uma DLL requred não existe. (o erro de gramática é deixado como está no código de Trojan). O SOUNDV.EXE é o próprio Trojan DoS. O MRE.DLL é um pequeno programa que apenas executa o SOUNDV.EXE em cada execução. Como resultado, sob Win9x e WinNT, o componente SOUNDV.EXE será ativado. DoS Attack Quando este arquivo é executado (na próxima reinicialização do Windows), ele permanecerá ativo como um aplicativo oculto (serviço), depois ativará a opção de discagem automática nas configurações da Internet e executará um ataque DoS no servidor "kozirog.netissat .líquido".
	Link para o original

Trojan-DDoS.Win32.Kozog

Detalhes técnicos

Instalação

DoS Attack