BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Trojan-Spy Win32

Trojan-Spy.Win32.WMPatch

Detect date
12/31/2004
Sınıf
Trojan-Spy
Platform
Win32

Ana sınıf: TrojWare

Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.

Sınıf: Trojan-Spy

Trojan-Spy programları, kullanıcının eylemlerini gözetlemek (klavye tarafından girilen verileri izlemek, ekran görüntüleri yapmak, çalışan uygulamaların listesini almak vb.) Için kullanılır. Toplanan bilgiler daha sonra Truva'yı kontrol eden kötü niyetli kullanıcıya iletilir. Verileri iletmek için e-posta, FTP, web (bir talepte bulunan veriler dahil) ve diğer yöntemler kullanılabilir.

Platform: Win32

Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.

Açıklama

Teknik detaylar

Trojan.WebMoney.Wmpatch iki yürütülebilir Win32 PE dosyaları oluşan bir trojan programı: DBOLE.EXE ve SICKBOY.EXE. Bu dosyalar trojan programı TrojanDownloader.Win32.Small.n tarafından indirilmiştir. Bu Truva atı programının 5 Mart 2003'te bir toplu e-postası tespit edildi. Mesaj metni şu şekilde görünür: 

Gönderen: Tebrik kartları [greeting_cards@yahoo.com]Gönderildi: 5 Mart 2003 8:20 (bu satırdaki gerçek metin Rusçadır)Için: Ivan PetrovKonu: Bir kart aldınız! (bu satırdaki gerçek metin Rusçadır)(Burada, aşağıdaki metne İngilizce olarak verilen bir metin bulunmaktadır). Merhaba! Kartpostalın var! Bu kartpostalı görüntülemek için bağlantıya tıklayın: http://www.yahoo-greeting-cards.com/*************/viewcard_680fe23d52.asp.scr Önümüzdeki 60 gün içinde istediğiniz zaman görebileceksiniz. ____________________________________________________ Http://www.yahoo-greeting-cards.com adresinde favori kartpostallar

Dosya - DBOLE.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır. Sıkıştırılmış boyut 32.768 bayttır ve C programlama dilinde yazılmıştır. Truva attığında, WebMoney programının varlığını kontrol eder. Bunu yapmak için program klasöründeki WMClient.dll dosyasını arar ve içine yeni kod ekler. Yeni kod iki dosya oluşturur: 

c: wmkey.binc: wmmem.bin

Program adı altında bir rapor dosyası oluşturur: 

c: wmlog.bin

Daha sonra Truva, Windows kayıt defteri otomatik çalıştırma anahtarına kendini yükler.

Aşağıdaki dizeler dosyada bulunur: 

kernel32.dll bloğu taşı c: wmkey.bin c: wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE yanlış SoftwareMicrosoftWindowsCurrentVersionRun Komut satırı: '% s' - Bellek ayırma başarısız oldu + Kapatma- Hatalı dosya sürümü - Dosya yazma hatası + Dosya yazılmış + Düzeltmeye hazırlan  + Giriş noktası% d (% x) + Yama% d (% x) + Ok okuma,% d bayt okuma - Dosya okunurken hata oluştu+ Bellek ayırma tamam Dosya boyutu:% d bayt + Açık dosya tamam - WM yüklü değil - Dosya açma hatası oluştu:% s + Yolu al tamam% s + WMClient.dll Yazılımını BaşlatmakWebmoneyPath% sc: wmlog.bin

Dosya - SICKBOY.EXE
Bu dosya PE-Pack yardımcı programıyla sıkıştırılmıştır, Sıkıştırılmış boyut 28.672 bayttır ve C programlama dilinde yazılmıştır. Piyasaya sürüldükten sonra, bu dosya bir kurbanın bilgisayarında saklanır ve aşağıdaki dosyaları e-postayla gönderir: 

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin"

Onlar adrese gönderilir: 

sickboy@centrum.cz

Yani bu program kendini SMTP sunucusuna bağlayabilir ve ikili dosyaları metin formatına dönüştüren e-posta metni oluşturabilir.

Dosya aşağıdaki dizeleri içerir: 

xfm1.txt RegisterServiceProcess kernel32.dll c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney Keeper QUITKonu:% sVERİRCPT TO: MAİL ŞU KİŞİDEN GELDİ: HELO localhost62.84.131.172 SOFTWAREWebmoneyOptions dosya bulunamadı Filename düz metin:% s% .2x Dosya adı kutusu:% s

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Related articles
11 July 2024
Securelist
When spear phishing met mass phishing
09 July 2024
Securelist
Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK
08 July 2024
Securelist
CloudSorcerer – A new APT targeting Russian government entities
25 June 2024
Securelist
Cybersecurity in the SMB space — a growing threat
24 June 2024
Securelist
XZ backdoor: Hook analysis
18 June 2024
Securelist
Analysis of user password strength
Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
newvirus@kaspersky.com
Şunlar için çözümler
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Select language
Sorting
Tehdit
Confirm changes?
Your message has been sent successfully.