Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-DDoS.Win32.Kozog

Třída Trojan-DDoS
Platfoma Win32
Popis

Technické údaje

Jedná se o Trojan Win32 DDoS (Distributed Denial of Service Attack), který byl v listopadu 2000 distribuován hackerem (nebo skupinou hackerů). Trojice byla odeslána jako e-mailová zpráva s připojeným souborem.

Text zprávy a hlavička vypadá následovně:

————————————————– ——

Od: World Travel Agency Ltd. [office4@worldtravel.com]
Odeslané: 21. listopadu 2000 17:31]
Komu: Všichni turisté a rekreanti]
Předmět: Oslavte nové tisíciletí!]

Světová cestovní agentura
359 BTC Drive
PO Box 134108
Seattle, WA 98108-23
USA

Vážený pane / paní

Oslavte nové tisíciletí! Objevte ráj!

Nabízíme Vám nejatraktivnější balíček oslav New Millennium, které jste kdy viděli.
Čistá příroda, moderní architektura a špičkové technologie jsou spojeny, aby vytvořily perfektní letovisko.
Přiměřené ceny, správnost, vysoce kvalitní služby.
Klikněte na níže uvedený soubor zip a podívejte se na naši nabídku!
Udělejte závidění vašim sousedům!

S pozdravem,

————————————————– ——

Přiložený soubor má být zobrazen jako ZIP archiv, ale je to soubor EXE Windows s následujícím názvem:

"OFFER2001.ZIP [many spaces] .EXE"

Jedná se o "instalační program", který bude mít vliv na počítač, pokud je spuštěn. Kvůli triku "mezery" se v mnoha případech zobrazí jako soubor .ZIP, což může uživatele oklamat a otevřít jej.

Instalace

Když je spuštěn soubor EXE (Trojan installer), extrahuje od sebe další dva spustitelné soubory a zkopíruje je do systémového adresáře systému Windows s následujícími názvy:

MRE.DLL
SOUNDV.EXE

V rámci Win9x a WinNT jsou tyto soubory registrovány v sekcích automatického spouštění různými způsoby: pod WinNT Trojan zaregistruje soubor SOUNDV.EXE v registru systému:

SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe

V souboru Win9x je soubor DLL registrován v souboru System.ini v následující části [boot]:

drivers = mre.dll

Trojan pak zobrazí následující chybovou zprávu:

Chyba
Požadovaná knihovna DLL neexistuje.

Požadovaná knihovna DLL neexistuje

(chyba gramatiky je ponechána jako v kódu trojského koně).

SOUNDV.EXE je samotný Trojan DoS. MRE.DLL je malý program, který spouští SOUNDV.EXE při každém spuštění. Výsledkem je, že pod Win9x a WinNT bude aktivována součást SOUNDV.EXE.

DoS útok

Při spuštění tohoto souboru (při dalším restartu systému Windows) zůstane aktivní jako skrytá aplikace (služba), pak povolí volbu automatické volby v nastavení Internetu a provede útok DoS na serveru "kozirog.netissat .síť".


Odkaz na originál