Hlavní třída: TrojWare
Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.
Třída: Trojan-PSW
Programy Trojan-PSW jsou navrženy tak, aby ukradly informace o uživatelských účtech, jako jsou přihlašovací údaje a hesla z infikovaných počítačů. PSW je zkratka pro Password Stealing Ware.Při spuštění PSW trojan hledá systémové soubory, které ukládají řadu důvěrných dat nebo registru. Pokud je tato data nalezena, Trojan pošle zprávu "master". E-mail, FTP, web (včetně dat v žádosti) nebo jiné metody mohou být použity k přepravě ukradených dat.
Některé takové trojské koně také ukradnou registrační informace pro určité softwarové programy.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o heslo a WebMoney informace krádež Trojan program s abilitiy stáhnout jeho "upgrady" z internetových stránek a nahradit se svými novými verzemi. Trojan byl implementován do balíčků freewarových her a byl distribuován tímto způsobem v květnu 2001.
Vzhledem k tomu, že se trojský kůň může sám "upgradovat" z internetových stránek, níže uvedené informace nemusí být zcela správné pro dosud neznámé verze trojských koní.
Instalace
Když je spuštěn Trojan, zkopíruje se do adresáře systému Windows s názvem TASKSVR32.EXE a zaregistruje se v klíči automatického spuštění registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe
Pokud se při vytváření tohoto klíče vyskytne chyba (aktuální uživatel nemá přístup k klávesám HKLM), Trojan se sám zaregistruje v klíči HKCU:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe
Trojan pak vytvoří soubor DLL pomocníka COOLX.DLL v adresáři systému Windows. Původní trojský soubor (ze kterého byl spuštěn Trojan) je poté smazán.
Trojan také vytváří další klíče registru a zapisuje hexadecimální hodnoty tam:
HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% šestnáctka%; tyto čtyři tlačítka jsou
DRMInstallPlace =% šestnáctka%; systémový čas při trojan
DRMUpdateFocus =% šestnáctka%; nainstaluje se sama
DRMUpdatePlace =% šestnáctka%; do systému
DRMVersion =% šestnáctka%; trojan verze
Trojan pak zůstává v paměti systému Windows jako skrytý servisní proces a je aktivní až do restartování systému Windows.
Ukradené informace
Trojan pošle svého autora následující informace z infikovaného počítače:
Název počítače
Uživatelské jméno
RegisteredOwner a RegisteredOrganization řetězce
Instalované informace o hardwaru
Síťové zdroje s režimem přístupu
IP adresa
Informace RAS, hesla uložená v mezipaměti
další přihlašovací údaje k Internetu a hesla
Informace o uživateli ICQ
WebMoney informační a datové soubory
Aktualizace
V závislosti na několika podmínkách získává Trojan soubory z internetových stránek, stáhne je do dočasného adresáře systému Windows s názvem RTTY32.EXE a spustí jej. Tyto soubory jsou dalšími trojskými verzemi a mohou mít vylepšené funkce.
Známé verze trojan stahovat soubory z následujících stránek:
sfavp.chat.ru/update
widpage.chat.ru/update
jiný
Některé známé verze také:
http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com