Trojan-Spy.Win32.WMPatch

Technical Details

Троянская программа состоит из двух исполняемых Win32 PE-файлов: DBOLE.EXE и SICKBOY.EXE. Эти файлы скачивались троянцем “TrojanDownloader.Win32.Greetyah”. Массовая рассылка этого троянца была обнаружена 5 марта 2003 года. Текст письма с троянцем выглядит так:

 From: Greeting cards [greeting_cards@yahoo.com]
 Sent: 5 марта 2003 г. 8:20
 To: Ivan Petrov
 Subject: Вам пришла открытка!

 Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: 
 http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr 

 Открытка доступна для просмотра в течение двух месяцев. 
____________________________________________________ 
 Любимые открытки на http://www.yahoo-greeting-cards.com

 Hello!

 You've got a postcard! To view this postcard, click on the link: 
 http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr 

 You will be able to see it at anytime within the next 60 days. 
____________________________________________________ 
 Favorite postcards on http://www.yahoo-greeting-cards.com

Файл DBOLE.EXE

Файл упакован утилитой PE-Pack. Размер упакованного файла 32768 байт. Программа написана на языке C. После старта троянец проверяет наличие клиента программы WebMoney. Для этого он ищет файл “WMClient.dll” в каталоге программы и встраивает в него новый код. Встроенный новый код создает на диске два файла:

 c:wmkey.bin
 c:wmmem.bin

Программа создает файл-отчет с именем

 c:wmlog.bin

Затем троянец устанавливает себя в ключе автозапуска системного реестра.

Содержит строки текста:

kernel32.dll rock the block c:wmkey.bin c:wmmem.bin
CreateFileA WriteFile CloseHandle lstrlen CopyFileA
DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun
Command line: ‘%s’ – Memory allocation failed + Shutting down
– Bad file version – File writing error + File written + Prepare to patch
+ Entry point at %d (%x) + Patch at %d (%x) + Reading ok, %d bytes read
– Error reading file + Memory allocation ok File size: %d bytes + Open
file ok – WM not installed – Error opening file Patching: %s
+ Get path ok %s + Starting WMClient.dll SoftwareWebmoneyPath
%s c:wmlog.bin

Файл SICKBOY.EXE

Файл упакован утилитой PE-Pack. Размер упакованного файла 28672 байт. Программа написана на языке C. После старта программа постоянно находится в памяти компьютера и отсылает файлы:

 c:wmlog.bin
 c:wmmem.bin
 c:wmkey.bin

по электронной почте на адрес:

 sickboy@centrum.cz

Для этого программа самостоятельно связывается с SMTP сервером, формирует текст письма и конвертирует бинарные файлы в текстовый формат. Содержит строки текста:

xfm1.txt RegisterServiceProcess kernel32.dll
c:wmkey.bin c:wmmem.bin c:wmlog.bin WebMoney Keeper QUIT
Subject: %s
DATA
RCPT TO:
MAIL FROM:
HELO localhost
62.84.131.172 SOFTWAREWebmoneyOptions file not found Filename
plain text: %s %.2x Filename bin: %s

Trojan.WebMoney.WMPatch.b, c, d, e, f

Эти версии троянцев состоят из одного исполняемого файла. Они встраивают свою компоненту в файл “WMClient.dll”, создают файлы с данными, отсылают письма с данными на адреса электронной почты. При отсылке писем используется почтовый сервер: “data.centrum.cz [62.84.131.172]”. Файлы имеют размер 36864 байт и упакованы утилитой PE-Pack. Список адресов электронной почты для разных версий троянской программы:

WMPatch.b

unclebill@centrum.cz
zkeeper@centrum.cz
kadabra@centrum.cz

WMPatch.c

asuwish@hotbox.ru
asuwish@centrum.cz

WMPatch.d

chuchundra@centrum.cz

WMPatch.e

mycash@centrum.cz

WMPatch.f

waltz2@centrum.cz