Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Detect date
12/31/2004
Třída
Trojan-Spy
Platfoma
Win32

Hlavní třída: TrojWare

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.

Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.

Třída: Trojan-Spy

Programy Trojan-Spy se používají k špehování akcí uživatele (sledování dat zadaných klávesnicí, vytváření snímků na obrazovce, načtení seznamu běžících aplikací apod.) Získané informace jsou poté předávány škodlivému uživateli, který kontroluje Trojan. K přenosu dat lze použít e-mail, FTP, web (včetně dat v žádosti) a další metody.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Trojan.WebMoney.Wmpatch je trojský program sestávající ze dvou spustitelných souborů Win32 PE: DBOLE.EXE a SICKBOY.EXE. Tyto soubory jsou staženy trojským programem TrojanDownloader.Win32.Small.n. Hromadná zásilka tohoto trojského programu byla zjištěna 5. března 2003. Text zprávy vypadá následovně:

Z: Blahopřání [greeting_cards@yahoo.com]Odesláno: 5. března 2003 8:20 (aktuální text v tomto řádku je v ruštině)Komu: Ivan PetrovPředmět: Obdrželi jste kartu! (aktuální text v tomto řádku je v ruštině)(Vidíte zde ruský text, který je analogický s textem v angličtině.) Ahoj! Máte pohlednici! Chcete-li zobrazit tuto pohlednici, klikněte na odkaz: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Budete ji moci vidět kdykoli během následujících 60 dnů. ____________________________________________________ Oblíbené pohlednice na http://www.yahoo-greeting-cards.com  

Soubor - DBOLE.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack. Je komprimovaná velikost 32 768 bajtů a je napsána v programovacím jazyce C. Jakmile je trojan spuštěn, zkontroluje přítomnost programu WebMoney. Chcete-li to provést, hledá soubor WMClient.dll ve složce programů a vloží do něj nový kód. Nový kód vytvoří dva soubory:

c: wmkey.binc: wmmem.bin

Program vytvoří soubor sestavy pod názvem:

c: wmlog.bin

Poté se trojan nainstaluje do klíče automatického spuštění registru systému Windows.

V souboru jsou obsaženy následující řetězce:

kernel32.dll skáčejte blok c: wmkey.bin c: wmmem.bin VytvořitFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun Příkazový řádek: '% s' - Přidělení paměti selhalo + Vypnutí- Špatná verze souboru - Chyba při psaní souboru + Soubor zapsán + Připravte se na opravu  + Vstupní bod na% d (% x) + Oprava na% d (% x) + Čtení ok, přečtení% d bajtů - Chyba při čtení souboru+ Přidělení paměti ok Velikost souboru:% d bajtů + Otevřít soubor ok - WM není nainstalován - Chyba při otevírání souboru Patching:% s + Získat cestu ok% s + Spuštění programu WMClient.dll SoftwareWebmoneyPath% sc: wmlog.bin

Soubor - SICKBOY.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack, je komprimovaná velikost 28 672 bajtů a je zapsána do programovacího jazyka C. Po spuštění tento soubor zůstává v paměti počítače oběti a pošle následující soubory e-mailem:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Jsou zasílány na adresu:

sickboy@centrum.cz

Takže tento program se může připojit k serveru SMTP a vytvořit e-mailový text, který převádí binární soubory do textového formátu.

Soubor obsahuje následující řetězce:

xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUITPředmět:% sDATARCPT TO: MAIL FROM: HELO localhost62.84.131.172 Soubor SOFTWAREWebmoneyOptions nebyl nalezen Název souboru prostý text:% s% .2x název souboru:% s

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Kaspersky Premium
Zjistěte více
Confirm changes?
Your message has been sent successfully.