ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Trojan-PSW.Win32.CrazyBilets

Classe Trojan-PSW
Plataforma Win32
Descrição

Detalhes técnicos

Este programa pertence à família de senhas que roubam trojans. Foi espalhado a partir de uma página de acesso público no servidor narod.ru no início de junho de 2002.

A página da web continha o seguinte:

 Exames Intermediários
 Papéis de teste para matemática e tópicos para composições. Ainda livre!

O arquivo que reside na página da Web é um instalador do Trojan. Quando executado, ele descarta um programa de Trojan para o diretório do Windows e, em seguida, extrai e cria tópicos falsos de exame (em russo).

O Trojan em si é um arquivo EXE do Windows PE com cerca de 27Kb de comprimento (compactado por UPX, o tamanho descompactado é de cerca de 83Kb) e escrito em Delphi.

Quando executado, o Trojan se copia para o diretório Windows sob o nome SYSTEM.EX e registra esse arquivo na chave de execução automática do registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   Sistema =% WindowsDir% System.exe

A principal função do CrazyBilets Trojan é coletar as senhas do Windows em cache nas máquinas vítimas e enviar essas informações para o "master" por conexão direta com um servidor SMTP.


Link para o original