Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-DDoS
Esse tipo de programa malicioso é projetado para conduzir um ataque DoS de um computador infectado em um endereço predefinido. Essencialmente, um ataque DoS envolve o envio de inúmeros pedidos para a máquina vítima; isso leva a uma negação de serviço se o computador sob ataque não tiver recursos suficientes para processar todas as solicitações recebidas. Para conduzir um ataque DoS bem-sucedido, os usuários mal-intencionados geralmente infectam vários computadores com esse tipo de cavalo de Troia (por exemplo, como parte de um envio massivo de spam). Como resultado, todos os computadores infectados atacarão a máquina vítima. .Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este é um Trojan de DDoS (ataque de negação de serviço distribuído) do Win32 que foi distribuído por um hacker (ou grupo de hackers) em novembro de 2000. O cavalo de Tróia foi enviado como uma mensagem de e-mail com um arquivo anexado.
O texto e o cabeçalho da mensagem são exibidos da seguinte maneira:
-------------------------------------------------- ------De: World Travel Agency Ltd. [office4@worldtravel.com]-------------------------------------------------- ------
Enviada: 21 de novembro de 2000 17:31
Para: Todos os turistas e turistas
Assunto: Comemore o Novo Milênio!]
Agência de viagens mundiais Ltd.
359 BTC Drive
Caixa postal 134108
Seattle, WA 98108-23
EUA
Caro Sr / Sra
Comemore o novo milênio! Descubra o paraíso!
Oferecemos o pacote mais atrativo para as celebrações do Novo Milênio que você já viu.
Natureza pura, arquitetura moderna e alta tecnologia são fundidas para criar o resort perfeito.
Prises razoáveis, correção, serviços de alta qualidade.
Clique no arquivo zip abaixo para ver nossa oferta!
Faça seus vizinhos invejarem!
Cumprimentos,
O arquivo anexado pretende ser exibido como um arquivo ZIP, mas é um arquivo EXE do Windows com o seguinte nome:
"OFFER2001.ZIP [muitos espaços] .EXE"
Este é o "instalador" de Trojan que afetará um computador se for executado. Por causa de um truque de "espaços", ele será exibido como um arquivo .ZIP em muitos casos, o que poderia enganar o usuário para abri-lo.
Instalação
Quando o arquivo EXE (instalador do Trojan) é executado, ele extrai de si mesmo mais dois arquivos executáveis e os copia para o diretor do sistema Windows com os seguintes nomes:
MRE.DLL
SOUNDV.EXE
Em Win9x e WinNT, esses arquivos são registrados nas seções de execução automática de diferentes maneiras: sob o WinNT, o Trojan registra um arquivo SOUNDV.EXE no registro do sistema:
SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe
Em Win9x, o arquivo DLL está registrado no arquivo SYSTEM.INI na seção [boot] a seguir:
drivers = mre.dll
O Trojan então exibe a seguinte mensagem de erro falsa:
Erro
Uma DLL requred não existe.
(o erro de gramática é deixado como está no código de Trojan).
O SOUNDV.EXE é o próprio Trojan DoS. O MRE.DLL é um pequeno programa que apenas executa o SOUNDV.EXE em cada execução. Como resultado, sob Win9x e WinNT, o componente SOUNDV.EXE será ativado.
DoS Attack
Quando este arquivo é executado (na próxima reinicialização do Windows), ele permanecerá ativo como um aplicativo oculto (serviço), depois ativará a opção de discagem automática nas configurações da Internet e executará um ataque DoS no servidor "kozirog.netissat .líquido".
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com