Zayıf noktalar Tehditler

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan-Spy.Win32.WMPatch

Başlangıç Tehditler Trojan-Spy Trojan-Spy.Win32.WMPatch
Bulunma tarihi 12/31/2004
Sınıf Trojan-Spy
Platform Win32
Açıklama

Teknik detaylar

Trojan.WebMoney.Wmpatch iki yürütülebilir Win32 PE dosyaları oluşan bir trojan programı: DBOLE.EXE ve SICKBOY.EXE. Bu dosyalar trojan programı TrojanDownloader.Win32.Small.n tarafından indirilmiştir. Bu Truva atı programının 5 Mart 2003'te bir toplu e-postası tespit edildi. Mesaj metni şu şekilde görünür: 

Gönderen: Tebrik kartları [greeting_cards@yahoo.com]
Gönderildi: 5 Mart 2003 8:20 (bu satırdaki gerçek metin Rusçadır)
Için: Ivan Petrov
Konu: Bir kart aldınız! (bu satırdaki gerçek metin Rusçadır)

(Burada, aşağıdaki metne İngilizce olarak verilen bir metin bulunmaktadır). 

Merhaba! 

Kartpostalın var! 
Bu kartpostalı görüntülemek için bağlantıya tıklayın: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr 

Önümüzdeki 60 gün içinde istediğiniz zaman görebileceksiniz. 

____________________________________________________ 
Http://www.yahoo-greeting-cards.com adresinde favori kartpostallar

Dosya – DBOLE.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır. Sıkıştırılmış boyut 32.768 bayttır ve C programlama dilinde yazılmıştır. Truva attığında, WebMoney programının varlığını kontrol eder. Bunu yapmak için program klasöründeki WMClient.dll dosyasını arar ve içine yeni kod ekler. Yeni kod iki dosya oluşturur: 

c: wmkey.bin
c: wmmem.bin

Program adı altında bir rapor dosyası oluşturur: 

c: wmlog.bin

Daha sonra Truva, Windows kayıt defteri otomatik çalıştırma anahtarına kendini yükler.

Aşağıdaki dizeler dosyada bulunur: 

kernel32.dll bloğu taşı c: wmkey.bin c: wmmem.bin 
CreateFileA WriteFile CloseHandle lstrlen CopyFileA 
DatabaseOLE yanlış SoftwareMicrosoftWindowsCurrentVersionRun 
Komut satırı: '% s' - Bellek ayırma başarısız oldu + Kapatma
- Hatalı dosya sürümü - Dosya yazma hatası + Dosya yazılmış + Düzeltmeye hazırlan  
+ Giriş noktası% d (% x) + Yama% d (% x) + Ok okuma,% d bayt okuma - Dosya okunurken hata oluştu
+ Bellek ayırma tamam Dosya boyutu:% d bayt + Açık dosya tamam - WM yüklü değil 
- Dosya açma hatası oluştu:% s 
+ Yolu al tamam% s + WMClient.dll Yazılımını BaşlatmakWebmoneyPath% s
c: wmlog.bin

Dosya – SICKBOY.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır, Sıkıştırılmış boyut 28.672 bayttır ve C programlama dilinde yazılmıştır. Piyasaya sürüldükten sonra, bu dosya bir kurbanın bilgisayarında saklanır ve aşağıdaki dosyaları e-postayla gönderir: 

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin"

Onlar adrese gönderilir: 

sickboy@centrum.cz

Yani bu program kendini SMTP sunucusuna bağlayabilir ve ikili dosyaları metin formatına dönüştüren e-posta metni oluşturabilir.

Dosya aşağıdaki dizeleri içerir: 

xfm1.txt RegisterServiceProcess kernel32.dll 
c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUIT
Konu:% s
VERİ
RCPT TO: 
MAİL ŞU KİŞİDEN GELDİ: 
HELO localhost
62.84.131.172 SOFTWAREWebmoneyOptions dosya bulunamadı Filename düz metin:% s
% .2x Dosya adı kutusu:% s


Orijinaline link
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin
© 2023 AO Kaspersky Lab. All Rights Reserved.
Gizlilik Politikası Cookies

Yukarı