Kaspersky Threats — BadSector

Sınıf

Platform

Açıklama

Teknik detaylar

Bu Trojan, Ağustos 1998'de birkaç İnternet haber grubuna gönderildi. Trojan kendisi, Pascal'da yazılmış 25Kb'lik bir Windows yürütülebilir dosyası (NE formatı). Ağa erişir ve internete rastgele mesajlar gönderir.

İlk kez çalıştırıldığında, Trojan kendini sisteme yükler. Kendisini SHELL32.EXE adıyla Windows sistem dizinine kopyalar ve HKEY_LOCAL_MACHINE bölümünde sistem kayıt defterinde kayıt yapar:



SOFTWAREMicrosoftWindowsCurrentVersionRun shell32.exe

Trojan daha sonra hiçbir yan etkisi olmadan sona erer. Bir sonraki yeniden başlatmada, Truva atı Windows belleğinde gizli bir görev olarak kalır, Windows Socket API'lerini periyodik olarak başlatır ve iletileri göndermek için TCP / IP protokolü ile bir akış soketi açar.

Mesajlar rastgele seçilmiş adreslere, konulara ve verilere sahiptir. "Posta Gönderen" adresi aşağıdaki bölümlerden rastgele oluşturulur:

Prodigy compuserve kurva putka gerry tetra avrupa amstel abd bulgaristan badsector hacker omega vali-pedali eunet digsys
ana vt linux aix unix posta www ana abc sunucusu veliko-tar
com eğitim org mil gov net bg tr gr uk ca ro jp

"RCPT To" adresi aşağıdaki değişkenlerden rastgele seçilir:



gerry@tetra.bg

administrator@tetra.bg

tetranet@tetra.bg

root@vt.bitex.com

peterc@vt.bitex.com

ivanp@vt.bitex.com

root@tarnovo.eunet.bg

master@tarnovo.eunet.bg

webmaster@tarnovo.eunet.bg

root@server.vt.bia-bg.com

webmaster@mail.vt.bia-bg.com

webmaster@tetra.bg

Konu aşağıdaki varyantlardan rastgele seçilir:



Ha-ha-ha

Kötü Sektör wi razkaza igrata :))

Kötü Sektörden Selamlar! Po-zdrawi

Vleze li wi sega?

Yeniden

Merhaba Kak e?

Ko staa, ima problemi li

Kötü sektör

Kogato grum udari …

vb.

Mesaj gövdesinin cümleleri, büyük bir fiillerden, sözcüklerden ve alt cümlelerden oluşan rastgele bir şekilde oluşturulmuş, kısmen de kaba olan, çoğunlukla Bulgarcalı olanlardır. Hepsini burada listelemek için bir sebep yok.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Trojan
Platform	Win16
Açıklama	Teknik detaylar Bu Trojan, Ağustos 1998'de birkaç İnternet haber grubuna gönderildi. Trojan kendisi, Pascal'da yazılmış 25Kb'lik bir Windows yürütülebilir dosyası (NE formatı). Ağa erişir ve internete rastgele mesajlar gönderir. İlk kez çalıştırıldığında, Trojan kendini sisteme yükler. Kendisini SHELL32.EXE adıyla Windows sistem dizinine kopyalar ve HKEY_LOCAL_MACHINE bölümünde sistem kayıt defterinde kayıt yapar: SOFTWAREMicrosoftWindowsCurrentVersionRun shell32.exe Trojan daha sonra hiçbir yan etkisi olmadan sona erer. Bir sonraki yeniden başlatmada, Truva atı Windows belleğinde gizli bir görev olarak kalır, Windows Socket API'lerini periyodik olarak başlatır ve iletileri göndermek için TCP / IP protokolü ile bir akış soketi açar. Mesajlar rastgele seçilmiş adreslere, konulara ve verilere sahiptir. "Posta Gönderen" adresi aşağıdaki bölümlerden rastgele oluşturulur: Prodigy compuserve kurva putka gerry tetra avrupa amstel abd bulgaristan badsector hacker omega vali-pedali eunet digsys ana vt linux aix unix posta www ana abc sunucusu veliko-tar com eğitim org mil gov net bg tr gr uk ca ro jp "RCPT To" adresi aşağıdaki değişkenlerden rastgele seçilir: gerry@tetra.bg administrator@tetra.bg tetranet@tetra.bg root@vt.bitex.com peterc@vt.bitex.com ivanp@vt.bitex.com root@tarnovo.eunet.bg master@tarnovo.eunet.bg webmaster@tarnovo.eunet.bg root@server.vt.bia-bg.com webmaster@mail.vt.bia-bg.com webmaster@tetra.bg Konu aşağıdaki varyantlardan rastgele seçilir: Ha-ha-ha Kötü Sektör wi razkaza igrata :)) Kötü Sektörden Selamlar! Po-zdrawi Vleze li wi sega? Yeniden Merhaba Kak e? Ko staa, ima problemi li Kötü sektör Kogato grum udari … vb. Mesaj gövdesinin cümleleri, büyük bir fiillerden, sözcüklerden ve alt cümlelerden oluşan rastgele bir şekilde oluşturulmuş, kısmen de kaba olan, çoğunlukla Bulgarcalı olanlardır. Hepsini burada listelemek için bir sebep yok.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Trojan.Win16.BadSector

Teknik detaylar