Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o Trojan Win32 DDoS (Distributed Denial of Service Attack), který byl v listopadu 2000 distribuován hackerem (nebo skupinou hackerů). Trojice byla odeslána jako e-mailová zpráva s připojeným souborem.

Text zprávy a hlavička vypadá následovně:

————————————————– ——

Od: World Travel Agency Ltd. [office4@worldtravel.com]
Odeslané: 21. listopadu 2000 17:31]
Komu: Všichni turisté a rekreanti]
Předmět: Oslavte nové tisíciletí!]

Světová cestovní agentura
359 BTC Drive
PO Box 134108
Seattle, WA 98108-23
USA

Vážený pane / paní

Oslavte nové tisíciletí! Objevte ráj!

Nabízíme Vám nejatraktivnější balíček oslav New Millennium, které jste kdy viděli.
Čistá příroda, moderní architektura a špičkové technologie jsou spojeny, aby vytvořily perfektní letovisko.
Přiměřené ceny, správnost, vysoce kvalitní služby.
Klikněte na níže uvedený soubor zip a podívejte se na naši nabídku!
Udělejte závidění vašim sousedům!

S pozdravem,

————————————————– ——

Přiložený soubor má být zobrazen jako ZIP archiv, ale je to soubor EXE Windows s následujícím názvem:

"OFFER2001.ZIP [many spaces] .EXE"

Jedná se o "instalační program", který bude mít vliv na počítač, pokud je spuštěn. Kvůli triku "mezery" se v mnoha případech zobrazí jako soubor .ZIP, což může uživatele oklamat a otevřít jej.

Instalace

Když je spuštěn soubor EXE (Trojan installer), extrahuje od sebe další dva spustitelné soubory a zkopíruje je do systémového adresáře systému Windows s následujícími názvy:

MRE.DLL
SOUNDV.EXE

V rámci Win9x a WinNT jsou tyto soubory registrovány v sekcích automatického spouštění různými způsoby: pod WinNT Trojan zaregistruje soubor SOUNDV.EXE v registru systému:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

V souboru Win9x je soubor DLL registrován v souboru System.ini v následující části [boot]:

drivers = mre.dll

Trojan pak zobrazí následující chybovou zprávu:

Chyba
Požadovaná knihovna DLL neexistuje.

Požadovaná knihovna DLL neexistuje

(chyba gramatiky je ponechána jako v kódu trojského koně).

SOUNDV.EXE je samotný Trojan DoS. MRE.DLL je malý program, který spouští SOUNDV.EXE při každém spuštění. Výsledkem je, že pod Win9x a WinNT bude aktivována součást SOUNDV.EXE.

DoS útok

Při spuštění tohoto souboru (při dalším restartu systému Windows) zůstane aktivní jako skrytá aplikace (služba), pak povolí volbu automatické volby v nastavení Internetu a provede útok DoS na serveru "kozirog.netissat .síť".

Odkaz na originál

Třída	Trojan-DDoS
Platfoma	Win32
Popis	Technické údaje Jedná se o Trojan Win32 DDoS (Distributed Denial of Service Attack), který byl v listopadu 2000 distribuován hackerem (nebo skupinou hackerů). Trojice byla odeslána jako e-mailová zpráva s připojeným souborem. Text zprávy a hlavička vypadá následovně: ————————————————– —— Od: World Travel Agency Ltd. [office4@worldtravel.com] Odeslané: 21. listopadu 2000 17:31] Komu: Všichni turisté a rekreanti] Předmět: Oslavte nové tisíciletí!] Světová cestovní agentura 359 BTC Drive PO Box 134108 Seattle, WA 98108-23 USA Vážený pane / paní Oslavte nové tisíciletí! Objevte ráj! Nabízíme Vám nejatraktivnější balíček oslav New Millennium, které jste kdy viděli. Čistá příroda, moderní architektura a špičkové technologie jsou spojeny, aby vytvořily perfektní letovisko. Přiměřené ceny, správnost, vysoce kvalitní služby. Klikněte na níže uvedený soubor zip a podívejte se na naši nabídku! Udělejte závidění vašim sousedům! S pozdravem, ————————————————– —— Přiložený soubor má být zobrazen jako ZIP archiv, ale je to soubor EXE Windows s následujícím názvem: "OFFER2001.ZIP [many spaces] .EXE" Jedná se o "instalační program", který bude mít vliv na počítač, pokud je spuštěn. Kvůli triku "mezery" se v mnoha případech zobrazí jako soubor .ZIP, což může uživatele oklamat a otevřít jej. Instalace Když je spuštěn soubor EXE (Trojan installer), extrahuje od sebe další dva spustitelné soubory a zkopíruje je do systémového adresáře systému Windows s následujícími názvy: MRE.DLL SOUNDV.EXE V rámci Win9x a WinNT jsou tyto soubory registrovány v sekcích automatického spouštění různými způsoby: pod WinNT Trojan zaregistruje soubor SOUNDV.EXE v registru systému: SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe V souboru Win9x je soubor DLL registrován v souboru System.ini v následující části [boot]: drivers = mre.dll Trojan pak zobrazí následující chybovou zprávu: Chyba Požadovaná knihovna DLL neexistuje. (chyba gramatiky je ponechána jako v kódu trojského koně). SOUNDV.EXE je samotný Trojan DoS. MRE.DLL je malý program, který spouští SOUNDV.EXE při každém spuštění. Výsledkem je, že pod Win9x a WinNT bude aktivována součást SOUNDV.EXE. DoS útok Při spuštění tohoto souboru (při dalším restartu systému Windows) zůstane aktivní jako skrytá aplikace (služba), pak povolí volbu automatické volby v nastavení Internetu a provede útok DoS na serveru "kozirog.netissat .síť".
	Odkaz na originál

Trojan-DDoS.Win32.Kozog

Technické údaje

Instalace

DoS útok