Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan-Spy
Trojaner-Spy-Programme werden verwendet, um die Aktionen eines Benutzers auszuspionieren (über die Tastatur eingegebene Daten zu verfolgen, Screenshots zu erstellen, eine Liste laufender Anwendungen abzurufen usw.) Die gesammelten Informationen werden dann an den böswilligen Benutzer übertragen, der den Trojaner kontrolliert. E-Mail, FTP, das Web (einschließlich Daten in einer Anfrage) und andere Methoden können verwendet werden, um die Daten zu übertragen.Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Trojan.WebMoney.Wmpatch ist ein Trojanerprogramm, das aus zwei ausführbaren Win32 PE-Dateien besteht: DBOLE.EXE und SICKBOY.EXE. Diese Dateien werden vom Trojaner TrojanDownloader.Win32.Small.n heruntergeladen. Ein Massenversand dieses Trojanerprogramms wurde am 5. März 2003 entdeckt. Der Nachrichtentext erscheint wie folgt:Von: Grußkarten [gruß_karten@yahoo.com]Gesendet: 5 März 2003 8:20 (der aktuelle Text in dieser Zeile ist in Russisch)An: Ivan PetrowBetreff: Sie haben eine Karte erhalten! (Der aktuelle Text in dieser Zeile ist auf Russisch)(Hier ist der russische Text analog zum englischen Text gleich unten.) Hallo! Du hast eine Postkarte! Um diese Postkarte anzusehen, klicken Sie auf den Link: http://www.yahoo-greeting-cards.com/**************/viewcard_680fe23d52.asp.scr Sie können es jederzeit innerhalb der nächsten 60 Tage sehen. ____________________________________________________ Lieblingspostkarten auf http://www.yahoo-greeting-cards.com
Datei - DBOLE.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Es ist komprimiert Größe ist 32.768 Bytes und ist in der Programmiersprache C geschrieben. Sobald der Trojaner gestartet ist, prüft er das Vorhandensein des WebMoney-Programms. Dazu sucht es im Ordner Programme nach der Datei WMClient.dll und fügt darin neuen Code ein. Der neue Code erstellt zwei Dateien:
c: wmkey.binc: wmmem.bin
Das Programm erstellt eine Berichtsdatei unter dem Namen:
c: wmlog.bin
Als nächstes installiert sich der Trojaner selbst in den Windows-Registrierungsschlüssel.
Die folgenden Zeichenfolgen sind in der Datei enthalten:
kernel32.dll rockt den Block c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun Befehlszeile: '% s' - Speicherzuordnung fehlgeschlagen + Herunterfahren- Ungültige Dateiversion - Fehler beim Schreiben der Datei + Geschriebene Datei + Bereiten Sie den Patch vor + Einstiegspunkt bei% d (% x) + Patch bei% d (% x) + Lesen ok,% d Bytes lesen - Fehler beim Lesen der Datei+ Speicherzuordnung ok Dateigröße:% d Bytes + Datei öffnen ok - WM nicht installiert - Fehler beim Öffnen der Datei Patchen:% s + Pfad abfragen% s + Starten von WMClient.dll SoftwareWebmoneyPath% sc: wmlog.bin
Datei - SICKBOY.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Die komprimierte Größe beträgt 28.672 Byte und wird in der Programmiersprache C geschrieben. Nach dem Start bleibt diese Datei im Speicher eines Opfer-Computers und sendet die folgenden Dateien per E-Mail:
"c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin"
Sie werden an die Adresse gesendet:
sickboy@centrum.cz
So kann dieses Programm sich mit dem SMTP-Server verbinden und E-Mail-Text bilden, der Binärdateien in Textformat umwandelt.
Die Datei enthält die folgenden Zeichenfolgen:
xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney-Keeper QUITFächerDATENRCPT zu:MAIL VON: HELO-localhost62.84.131.172 Datei SOFTWAREWebmoneyOptions nicht gefunden Dateiname Klartext:% s% .2x Dateiname bin:% s
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com