Trojan-Spy.Win32.WMPatch

Hlavní třída: TrojWare

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.

Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.

Třída: Trojan-Spy

Programy Trojan-Spy se používají k špehování akcí uživatele (sledování dat zadaných klávesnicí, vytváření snímků na obrazovce, načtení seznamu běžících aplikací apod.) Získané informace jsou poté předávány škodlivému uživateli, který kontroluje Trojan. K přenosu dat lze použít e-mail, FTP, web (včetně dat v žádosti) a další metody.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Trojan.WebMoney.Wmpatch je trojský program sestávající ze dvou spustitelných souborů Win32 PE: DBOLE.EXE a SICKBOY.EXE. Tyto soubory jsou staženy trojským programem TrojanDownloader.Win32.Small.n. Hromadná zásilka tohoto trojského programu byla zjištěna 5. března 2003. Text zprávy vypadá následovně:

Z: Blahopřání [greeting_cards@yahoo.com]Odesláno: 5. března 2003 8:20 (aktuální text v tomto řádku je v ruštině)Komu: Ivan PetrovPředmět: Obdrželi jste kartu! (aktuální text v tomto řádku je v ruštině)(Vidíte zde ruský text, který je analogický s textem v angličtině.) Ahoj! Máte pohlednici! Chcete-li zobrazit tuto pohlednici, klikněte na odkaz: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Budete ji moci vidět kdykoli během následujících 60 dnů. ____________________________________________________ Oblíbené pohlednice na http://www.yahoo-greeting-cards.com  

Soubor - DBOLE.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack. Je komprimovaná velikost 32 768 bajtů a je napsána v programovacím jazyce C. Jakmile je trojan spuštěn, zkontroluje přítomnost programu WebMoney. Chcete-li to provést, hledá soubor WMClient.dll ve složce programů a vloží do něj nový kód. Nový kód vytvoří dva soubory:

c: wmkey.binc: wmmem.bin

Program vytvoří soubor sestavy pod názvem:

c: wmlog.bin

Poté se trojan nainstaluje do klíče automatického spuštění registru systému Windows.

V souboru jsou obsaženy následující řetězce:

kernel32.dll skáčejte blok c: wmkey.bin c: wmmem.bin VytvořitFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun Příkazový řádek: '% s' - Přidělení paměti selhalo + Vypnutí- Špatná verze souboru - Chyba při psaní souboru + Soubor zapsán + Připravte se na opravu  + Vstupní bod na% d (% x) + Oprava na% d (% x) + Čtení ok, přečtení% d bajtů - Chyba při čtení souboru+ Přidělení paměti ok Velikost souboru:% d bajtů + Otevřít soubor ok - WM není nainstalován - Chyba při otevírání souboru Patching:% s + Získat cestu ok% s + Spuštění programu WMClient.dll SoftwareWebmoneyPath% sc: wmlog.bin

Soubor - SICKBOY.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack, je komprimovaná velikost 28 672 bajtů a je zapsána do programovacího jazyka C. Po spuštění tento soubor zůstává v paměti počítače oběti a pošle následující soubory e-mailem:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Jsou zasílány na adresu:

sickboy@centrum.cz

Takže tento program se může připojit k serveru SMTP a vytvořit e-mailový text, který převádí binární soubory do textového formátu.

Soubor obsahuje následující řetězce:

xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUITPředmět:% sDATARCPT TO: MAIL FROM: HELO localhost62.84.131.172 Soubor SOFTWAREWebmoneyOptions nebyl nalezen Název souboru prostý text:% s% .2x název souboru:% s

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com