Ana sınıf: TrojWare
Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.Sınıf: Trojan-Spy
Trojan-Spy programları, kullanıcının eylemlerini gözetlemek (klavye tarafından girilen verileri izlemek, ekran görüntüleri yapmak, çalışan uygulamaların listesini almak vb.) Için kullanılır. Toplanan bilgiler daha sonra Truva'yı kontrol eden kötü niyetli kullanıcıya iletilir. Verileri iletmek için e-posta, FTP, web (bir talepte bulunan veriler dahil) ve diğer yöntemler kullanılabilir.Platform: Win32
Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.Açıklama
Teknik detaylar
Trojan.WebMoney.Wmpatch iki yürütülebilir Win32 PE dosyaları oluşan bir trojan programı: DBOLE.EXE ve SICKBOY.EXE. Bu dosyalar trojan programı TrojanDownloader.Win32.Small.n tarafından indirilmiştir. Bu Truva atı programının 5 Mart 2003'te bir toplu e-postası tespit edildi. Mesaj metni şu şekilde görünür:Gönderen: Tebrik kartları [greeting_cards@yahoo.com]Gönderildi: 5 Mart 2003 8:20 (bu satırdaki gerçek metin Rusçadır)Için: Ivan PetrovKonu: Bir kart aldınız! (bu satırdaki gerçek metin Rusçadır)(Burada, aşağıdaki metne İngilizce olarak verilen bir metin bulunmaktadır). Merhaba! Kartpostalın var! Bu kartpostalı görüntülemek için bağlantıya tıklayın: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Önümüzdeki 60 gün içinde istediğiniz zaman görebileceksiniz. ____________________________________________________ Http://www.yahoo-greeting-cards.com adresinde favori kartpostallar
Dosya - DBOLE.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır. Sıkıştırılmış boyut 32.768 bayttır ve C programlama dilinde yazılmıştır. Truva attığında, WebMoney programının varlığını kontrol eder. Bunu yapmak için program klasöründeki WMClient.dll dosyasını arar ve içine yeni kod ekler. Yeni kod iki dosya oluşturur:
c: wmkey.binc: wmmem.bin
Program adı altında bir rapor dosyası oluşturur:
c: wmlog.bin
Daha sonra Truva, Windows kayıt defteri otomatik çalıştırma anahtarına kendini yükler.
Aşağıdaki dizeler dosyada bulunur:
kernel32.dll bloğu taşı c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE yanlış SoftwareMicrosoftWindowsCurrentVersionRun Komut satırı: '% s' - Bellek ayırma başarısız oldu + Kapatma- Hatalı dosya sürümü - Dosya yazma hatası + Dosya yazılmış + Düzeltmeye hazırlan + Giriş noktası% d (% x) + Yama% d (% x) + Ok okuma,% d bayt okuma - Dosya okunurken hata oluştu+ Bellek ayırma tamam Dosya boyutu:% d bayt + Açık dosya tamam - WM yüklü değil - Dosya açma hatası oluştu:% s + Yolu al tamam% s + WMClient.dll Yazılımını BaşlatmakWebmoneyPath% sc: wmlog.bin
Dosya - SICKBOY.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır, Sıkıştırılmış boyut 28.672 bayttır ve C programlama dilinde yazılmıştır. Piyasaya sürüldükten sonra, bu dosya bir kurbanın bilgisayarında saklanır ve aşağıdaki dosyaları e-postayla gönderir:
"c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin"
Onlar adrese gönderilir:
sickboy@centrum.cz
Yani bu program kendini SMTP sunucusuna bağlayabilir ve ikili dosyaları metin formatına dönüştüren e-posta metni oluşturabilir.
Dosya aşağıdaki dizeleri içerir:
xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUITKonu:% sVERİRCPT TO:MAİL ŞU KİŞİDEN GELDİ: HELO localhost62.84.131.172 SOFTWAREWebmoneyOptions dosya bulunamadı Filename düz metin:% s% .2x Dosya adı kutusu:% s
Daha fazlasını okuyun
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com