Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O PKZIP300 é distribuído como um arquivo de extração automática chamado PKZ300B.EXE, 178981 bytes de comprimento.

Este arquivo contém cinco arquivos, depois de extrair eles são:



nome do arquivo len o que é isso?

——– —- ————

PKZINST.EXE 5328 este é um verdadeiro programa de trojan

WHATSNEW.300 2417 WhatsNew do PkZip 2.04c, 2.04c substituído por 3.0

COMPRESS.000 124005 ARJ 2.41, mais bytes extras

COMPRESS.001 116260 ARJ 2.41

Arquivo FILE_ID.DIZ 101 DOC, anuncia que como Pkzip 3.0b.

Existe apenas um arquivo que é o trojan – PKZINST.EXE. Foi escrito em Turbo-Pascal. Sendo executado, exibe a mensagem:



PKZIP (R) Instale o utilitário versão 3.00b, 4-05-950

Copr. 1989-1995 Pkware Inc. Todos os direitos reservados.

Pkzip Reg. US Pat. e Tm. Fora.

Inicializando, isso pode levar alguns minutos ….

e executa dois comandos:



COMMAND.COM / C Formatar c:> NULL

COMMAND.COM / C deltree / yc:> NULL

Felizmente, o autor desse trojan não tem conhecimento suficiente sobre o computador, e o primeiro comando aguarda a confirmação do DOS:



AVISO: TODOS OS DADOS SOBRE O DISCO NÃO REMOVÍVEL

UNIDADE C: SERÁ PERDIDA!

Prossiga com o formato (Y / N)?

Essa solicitação pode ser finalizada com redefinição ou com Ctrl-C / Break. Em ambos os casos, o trojan é encerrado sem qualquer dano aos dados. No caso do Ctrl-C, basta informar os usos:



Obrigado por esperar, idiota. Você não deveria ter fodido com a gente.

e retorna ao DOS.

Há mais um bug nesse trojan – o redirecionamento "> NULL" cria o arquivo NULL no diretório atual, para desabilitar quaisquer mensagens que o autor do vírus tenha que escrever "> NUL".

Eu vejo que o autor do vírus aprende DOS página por página em ordem alfabética, ele sabe como usar os comandos que começaram com "D" e "F", mas ele ainda não atingiu as instruções "N" (Nulo) enquanto lendo seu Guia do Usuário do DOS.

O AVP detecta o trojan com o nome "Trojan.PKZ300b" no arquivo executável extraído, bem como no arquivo de extração automática.

Link para o original

Classe	Trojan
Plataforma	Win32
Descrição	Detalhes técnicos O PKZIP300 é distribuído como um arquivo de extração automática chamado PKZ300B.EXE, 178981 bytes de comprimento. Este arquivo contém cinco arquivos, depois de extrair eles são: nome do arquivo len o que é isso? ——– —- ———— PKZINST.EXE 5328 este é um verdadeiro programa de trojan WHATSNEW.300 2417 WhatsNew do PkZip 2.04c, 2.04c substituído por 3.0 COMPRESS.000 124005 ARJ 2.41, mais bytes extras COMPRESS.001 116260 ARJ 2.41 Arquivo FILE_ID.DIZ 101 DOC, anuncia que como Pkzip 3.0b. Existe apenas um arquivo que é o trojan – PKZINST.EXE. Foi escrito em Turbo-Pascal. Sendo executado, exibe a mensagem: PKZIP (R) Instale o utilitário versão 3.00b, 4-05-950 Copr. 1989-1995 Pkware Inc. Todos os direitos reservados. Pkzip Reg. US Pat. e Tm. Fora. Inicializando, isso pode levar alguns minutos …. e executa dois comandos: COMMAND.COM / C Formatar c:> NULL COMMAND.COM / C deltree / yc:> NULL Felizmente, o autor desse trojan não tem conhecimento suficiente sobre o computador, e o primeiro comando aguarda a confirmação do DOS: AVISO: TODOS OS DADOS SOBRE O DISCO NÃO REMOVÍVEL UNIDADE C: SERÁ PERDIDA! Prossiga com o formato (Y / N)? Essa solicitação pode ser finalizada com redefinição ou com Ctrl-C / Break. Em ambos os casos, o trojan é encerrado sem qualquer dano aos dados. No caso do Ctrl-C, basta informar os usos: Obrigado por esperar, idiota. Você não deveria ter fodido com a gente. e retorna ao DOS. Há mais um bug nesse trojan – o redirecionamento "> NULL" cria o arquivo NULL no diretório atual, para desabilitar quaisquer mensagens que o autor do vírus tenha que escrever "> NUL". Eu vejo que o autor do vírus aprende DOS página por página em ordem alfabética, ele sabe como usar os comandos que começaram com "D" e "F", mas ele ainda não atingiu as instruções "N" (Nulo) enquanto lendo seu Guia do Usuário do DOS. O AVP detecta o trojan com o nome "Trojan.PKZ300b" no arquivo executável extraído, bem como no arquivo de extração automática.
	Link para o original

Trojan.Win32.PKZ300b

Detalhes técnicos