Дата обнаружения | 31/12/2004 |
Класс | Trojan-Spy |
Платформа | Win32 |
Описание |
Technical DetailsТроянская программа состоит из двух исполняемых Win32 PE-файлов: DBOLE.EXE и SICKBOY.EXE. Эти файлы скачивались троянцем «TrojanDownloader.Win32.Greetyah». Массовая рассылка этого троянца была обнаружена 5 марта 2003 года. Текст письма с троянцем выглядит так: From: Greeting cards [greeting_cards@yahoo.com] Sent: 5 марта 2003 г. 8:20 To: Ivan Petrov Subject: Вам пришла открытка! Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Открытка доступна для просмотра в течение двух месяцев. ____________________________________________________ Любимые открытки на http://www.yahoo-greeting-cards.com Hello! You've got a postcard! To view this postcard, click on the link: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr You will be able to see it at anytime within the next 60 days. ____________________________________________________ Favorite postcards on http://www.yahoo-greeting-cards.com Файл DBOLE.EXE Файл упакован утилитой PE-Pack. Размер упакованного файла 32768 байт. Программа написана на языке C. После старта троянец проверяет наличие клиента программы WebMoney. Для этого он ищет файл «WMClient.dll» в каталоге программы и встраивает в него новый код. Встроенный новый код создает на диске два файла: c:wmkey.bin c:wmmem.bin Программа создает файл-отчет с именем c:wmlog.bin Затем троянец устанавливает себя в ключе автозапуска системного реестра. Содержит строки текста:
Файл SICKBOY.EXE Файл упакован утилитой PE-Pack. Размер упакованного файла 28672 байт. Программа написана на языке C. После старта программа постоянно находится в памяти компьютера и отсылает файлы: c:wmlog.bin c:wmmem.bin c:wmkey.bin по электронной почте на адрес: sickboy@centrum.cz Для этого программа самостоятельно связывается с SMTP сервером, формирует текст письма и конвертирует бинарные файлы в текстовый формат. Содержит строки текста:
Trojan.WebMoney.WMPatch.b, c, d, e, fЭти версии троянцев состоят из одного исполняемого файла. Они встраивают свою компоненту в файл «WMClient.dll», создают файлы с данными, отсылают письма с данными на адреса электронной почты. При отсылке писем используется почтовый сервер: «data.centrum.cz [62.84.131.172]». Файлы имеют размер 36864 байт и упакованы утилитой PE-Pack. Список адресов электронной почты для разных версий троянской программы: WMPatch.b
WMPatch.c
WMPatch.d
WMPatch.e
WMPatch.f
|
Узнай статистику распространения угроз в твоем регионе |