Trojan-Spy.Win32.WMPatch

Teknik detaylar

Trojan.WebMoney.Wmpatch iki yürütülebilir Win32 PE dosyaları oluşan bir trojan programı: DBOLE.EXE ve SICKBOY.EXE. Bu dosyalar trojan programı TrojanDownloader.Win32.Small.n tarafından indirilmiştir. Bu Truva atı programının 5 Mart 2003'te bir toplu e-postası tespit edildi. Mesaj metni şu şekilde görünür:

Gönderen: Tebrik kartları [greeting_cards@yahoo.com]Gönderildi: 5 Mart 2003 8:20 (bu satırdaki gerçek metin Rusçadır)Için: Ivan PetrovKonu: Bir kart aldınız! (bu satırdaki gerçek metin Rusçadır)(Burada, aşağıdaki metne İngilizce olarak verilen bir metin bulunmaktadır). Merhaba! Kartpostalın var! Bu kartpostalı görüntülemek için bağlantıya tıklayın: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Önümüzdeki 60 gün içinde istediğiniz zaman görebileceksiniz. ____________________________________________________ Http://www.yahoo-greeting-cards.com adresinde favori kartpostallar  

Dosya – DBOLE.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır. Sıkıştırılmış boyut 32.768 bayttır ve C programlama dilinde yazılmıştır. Truva attığında, WebMoney programının varlığını kontrol eder. Bunu yapmak için program klasöründeki WMClient.dll dosyasını arar ve içine yeni kod ekler. Yeni kod iki dosya oluşturur:

c: wmkey.binc: wmmem.bin

Program adı altında bir rapor dosyası oluşturur:

c: wmlog.bin

Daha sonra Truva, Windows kayıt defteri otomatik çalıştırma anahtarına kendini yükler.

Aşağıdaki dizeler dosyada bulunur:

kernel32.dll bloğu taşı c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE yanlış SoftwareMicrosoftWindowsCurrentVersionRun Komut satırı: '% s' - Bellek ayırma başarısız oldu + Kapatma- Hatalı dosya sürümü - Dosya yazma hatası + Dosya yazılmış + Düzeltmeye hazırlan  + Giriş noktası% d (% x) + Yama% d (% x) + Ok okuma,% d bayt okuma - Dosya okunurken hata oluştu+ Bellek ayırma tamam Dosya boyutu:% d bayt + Açık dosya tamam - WM yüklü değil - Dosya açma hatası oluştu:% s + Yolu al tamam% s + WMClient.dll Yazılımını BaşlatmakWebmoneyPath% sc: wmlog.bin

Dosya – SICKBOY.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır, Sıkıştırılmış boyut 28.672 bayttır ve C programlama dilinde yazılmıştır. Piyasaya sürüldükten sonra, bu dosya bir kurbanın bilgisayarında saklanır ve aşağıdaki dosyaları e-postayla gönderir:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Onlar adrese gönderilir:

sickboy@centrum.cz

Yani bu program kendini SMTP sunucusuna bağlayabilir ve ikili dosyaları metin formatına dönüştüren e-posta metni oluşturabilir.

Dosya aşağıdaki dizeleri içerir:

xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUITKonu:% sVERİRCPT TO: MAİL ŞU KİŞİDEN GELDİ: HELO localhost62.84.131.172 SOFTWAREWebmoneyOptions dosya bulunamadı Filename düz metin:% s% .2x Dosya adı kutusu:% s