Zranitelnosti Hrozby

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Trojan-Spy.Win32.WMPatch

Úvodní stránka Hrozby Trojan-Spy Trojan-Spy.Win32.WMPatch
Detekováno 12/31/2004
Třída Trojan-Spy
Platfoma Win32
Popis

Technické údaje

Trojan.WebMoney.Wmpatch je trojský program sestávající ze dvou spustitelných souborů Win32 PE: DBOLE.EXE a SICKBOY.EXE. Tyto soubory jsou staženy trojským programem TrojanDownloader.Win32.Small.n. Hromadná zásilka tohoto trojského programu byla zjištěna 5. března 2003. Text zprávy vypadá následovně: 

Z: Blahopřání [greeting_cards@yahoo.com]
Odesláno: 5. března 2003 8:20 (aktuální text v tomto řádku je v ruštině)
Komu: Ivan Petrov
Předmět: Obdrželi jste kartu! (aktuální text v tomto řádku je v ruštině)

(Vidíte zde ruský text, který je analogický s textem v angličtině.) 

Ahoj! 

Máte pohlednici! 
Chcete-li zobrazit tuto pohlednici, klikněte na odkaz: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr 

Budete ji moci vidět kdykoli během následujících 60 dnů. 

____________________________________________________ 
Oblíbené pohlednice na http://www.yahoo-greeting-cards.com

Soubor – DBOLE.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack. Je komprimovaná velikost 32 768 bajtů a je napsána v programovacím jazyce C. Jakmile je trojan spuštěn, zkontroluje přítomnost programu WebMoney. Chcete-li to provést, hledá soubor WMClient.dll ve složce programů a vloží do něj nový kód. Nový kód vytvoří dva soubory: 

c: wmkey.bin
c: wmmem.bin

Program vytvoří soubor sestavy pod názvem: 

c: wmlog.bin

Poté se trojan nainstaluje do klíče automatického spuštění registru systému Windows.

V souboru jsou obsaženy následující řetězce: 

kernel32.dll skáčejte blok c: wmkey.bin c: wmmem.bin 
VytvořitFileA WriteFile CloseHandle lstrlen CopyFileA 
DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun 
Příkazový řádek: '% s' - Přidělení paměti selhalo + Vypnutí
- Špatná verze souboru - Chyba při psaní souboru + Soubor zapsán + Připravte se na opravu  
+ Vstupní bod na% d (% x) + Oprava na% d (% x) + Čtení ok, přečtení% d bajtů - Chyba při čtení souboru
+ Přidělení paměti ok Velikost souboru:% d bajtů + Otevřít soubor ok - WM není nainstalován 
- Chyba při otevírání souboru Patching:% s 
+ Získat cestu ok% s + Spuštění programu WMClient.dll SoftwareWebmoneyPath% s
c: wmlog.bin

Soubor – SICKBOY.EXE
Tento soubor je komprimován pomocí nástroje PE-Pack, je komprimovaná velikost 28 672 bajtů a je zapsána do programovacího jazyka C. Po spuštění tento soubor zůstává v paměti počítače oběti a pošle následující soubory e-mailem: 

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin"

Jsou zasílány na adresu: 

sickboy@centrum.cz

Takže tento program se může připojit k serveru SMTP a vytvořit e-mailový text, který převádí binární soubory do textového formátu.

Soubor obsahuje následující řetězce: 

xfm1.txt RegisterServiceProcess kernel32.dll 
c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUIT
Předmět:% s
DATA
RCPT TO: 
MAIL FROM: 
HELO localhost
62.84.131.172 Soubor SOFTWAREWebmoneyOptions nebyl nalezen Název souboru prostý text:% s
% .2x název souboru:% s


Odkaz na originál
Zjistěte statistiky hrozeb šířících se ve vašem regionu
© 2022 AO Kaspersky Lab. All Rights Reserved.
Ochrana soukromí Cookies

Nahoru