Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

PKZIP300, PKZ300B.EXE, 178981 bayt uzunluğunda kendi kendine ayıklanan arşiv olarak dağıtılır.

Bu arşiv beş dosya içerir, çıkardıktan sonra bunlar:



dosya adı len bu nedir?

——– —- ————

PKZINST.EXE 5328 bu gerçek bir trojan programıdır

WHATSNEW.300 2417 PkZip 2.04c'den WhatsNew, 2.04c 3.0 ile değiştirildi

COMPRESS.000 124005 ARJ 2.41 artı ilave bayt

COMPRESS.001 116260 ARJ 2.41

FILE_ID.DIZ 101 DOC dosyası, Pkzip 3.0b olarak duyurdu.

Truva – PKZINST.EXE tek bir dosya var. Turbo-Pascal'da yazılmıştır. Yürütüldüğünde mesajı görüntüler:



PKZIP (R) Install Utility Sürüm 3.00b 4-05-950

Copr. 1989-1995 Pkware Inc. Tüm Hakları Saklıdır.

Pkzip Reg. ABD Pat. ve Tm. Kapalı.

Başlatma, bu birkaç dakika sürebilir ….

ve iki komut yürütür:



COMMAND.COM / C Biçim c:> NULL

COMMAND.COM / C deltree / yc:> NULL

Neyse ki, bu trojanın yazarı bilgisayar bilgisine sahip değil ve ilk komut sadece DOS onayını bekliyor:



UYARI: SÖKÜLEBİLİR DİSK DAYALI TÜM VERİLER

SÜRÜCÜ C: KAYIP OLACAK!

Format (Y / N) ile devam edilsin mi?

Bu istek sıfırlama veya Ctrl-C / Break ile sonlandırılabilir. Her iki durumda da, trojan, verilere zarar vermeden sona erdirilir. Ctrl-C durumunda sadece kullanımları bilgilendirir:



Beklediğiniz için teşekkürler moron. Bizimle dalga geçmemeliydin.

ve DOS'a döner.

Bu trojanda bir tane daha hata var – "NULL", "NULL" yazarak virüs yazarının "> NUL" yazması gereken mesajları devre dışı bırakmak için mevcut dizinde NULL dosyası oluşturur.

Virüs yazarının DOS sayfa sayfalarını alfabetik sırayla öğrenir, "D" ve "F" ile başlayan komutları nasıl kullanacağını bilir, ancak hala "N" (Null) yönergelerine ulaşılamamıştır. Onun DOS Kullanım Kılavuzunu okuyor.

AVP, "Trojan.PKZ300b" adı verilen truva atını, kendiliğinden açılan arşivde olduğu gibi, çıkarılabilir yürütülebilir dosyada algılar.

Orijinaline link

Sınıf	Trojan
Platform	Win32
Açıklama	Teknik detaylar PKZIP300, PKZ300B.EXE, 178981 bayt uzunluğunda kendi kendine ayıklanan arşiv olarak dağıtılır. Bu arşiv beş dosya içerir, çıkardıktan sonra bunlar: dosya adı len bu nedir? ——– —- ———— PKZINST.EXE 5328 bu gerçek bir trojan programıdır WHATSNEW.300 2417 PkZip 2.04c'den WhatsNew, 2.04c 3.0 ile değiştirildi COMPRESS.000 124005 ARJ 2.41 artı ilave bayt COMPRESS.001 116260 ARJ 2.41 FILE_ID.DIZ 101 DOC dosyası, Pkzip 3.0b olarak duyurdu. Truva – PKZINST.EXE tek bir dosya var. Turbo-Pascal'da yazılmıştır. Yürütüldüğünde mesajı görüntüler: PKZIP (R) Install Utility Sürüm 3.00b 4-05-950 Copr. 1989-1995 Pkware Inc. Tüm Hakları Saklıdır. Pkzip Reg. ABD Pat. ve Tm. Kapalı. Başlatma, bu birkaç dakika sürebilir …. ve iki komut yürütür: COMMAND.COM / C Biçim c:> NULL COMMAND.COM / C deltree / yc:> NULL Neyse ki, bu trojanın yazarı bilgisayar bilgisine sahip değil ve ilk komut sadece DOS onayını bekliyor: UYARI: SÖKÜLEBİLİR DİSK DAYALI TÜM VERİLER SÜRÜCÜ C: KAYIP OLACAK! Format (Y / N) ile devam edilsin mi? Bu istek sıfırlama veya Ctrl-C / Break ile sonlandırılabilir. Her iki durumda da, trojan, verilere zarar vermeden sona erdirilir. Ctrl-C durumunda sadece kullanımları bilgilendirir: Beklediğiniz için teşekkürler moron. Bizimle dalga geçmemeliydin. ve DOS'a döner. Bu trojanda bir tane daha hata var – "NULL", "NULL" yazarak virüs yazarının "> NUL" yazması gereken mesajları devre dışı bırakmak için mevcut dizinde NULL dosyası oluşturur. Virüs yazarının DOS sayfa sayfalarını alfabetik sırayla öğrenir, "D" ve "F" ile başlayan komutları nasıl kullanacağını bilir, ancak hala "N" (Null) yönergelerine ulaşılamamıştır. Onun DOS Kullanım Kılavuzunu okuyor. AVP, "Trojan.PKZ300b" adı verilen truva atını, kendiliğinden açılan arşivde olduğu gibi, çıkarılabilir yürütülebilir dosyada algılar.
	Orijinaline link

Trojan.Win32.PKZ300b

Teknik detaylar