BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Trojan.Win32.PKZ300b

Sınıf Trojan
Platform Win32
Açıklama

Teknik detaylar

PKZIP300, PKZ300B.EXE, 178981 bayt uzunluğunda kendi kendine ayıklanan arşiv olarak dağıtılır.

Bu arşiv beş dosya içerir, çıkardıktan sonra bunlar:


dosya adı len bu nedir?
——– —- ————
PKZINST.EXE 5328 bu gerçek bir trojan programıdır
WHATSNEW.300 2417 PkZip 2.04c'den WhatsNew, 2.04c 3.0 ile değiştirildi
COMPRESS.000 124005 ARJ 2.41 artı ilave bayt
COMPRESS.001 116260 ARJ 2.41
FILE_ID.DIZ 101 DOC dosyası, Pkzip 3.0b olarak duyurdu.
Truva – PKZINST.EXE tek bir dosya var. Turbo-Pascal'da yazılmıştır. Yürütüldüğünde mesajı görüntüler:

PKZIP (R) Install Utility Sürüm 3.00b 4-05-950
Copr. 1989-1995 Pkware Inc. Tüm Hakları Saklıdır.
Pkzip Reg. ABD Pat. ve Tm. Kapalı.
Başlatma, bu birkaç dakika sürebilir ….
ve iki komut yürütür:

COMMAND.COM / C Biçim c:> NULL
COMMAND.COM / C deltree / yc:> NULL
Neyse ki, bu trojanın yazarı bilgisayar bilgisine sahip değil ve ilk komut sadece DOS onayını bekliyor:

UYARI: SÖKÜLEBİLİR DİSK DAYALI TÜM VERİLER
SÜRÜCÜ C: KAYIP OLACAK!
Format (Y / N) ile devam edilsin mi?
Bu istek sıfırlama veya Ctrl-C / Break ile sonlandırılabilir. Her iki durumda da, trojan, verilere zarar vermeden sona erdirilir. Ctrl-C durumunda sadece kullanımları bilgilendirir:

Beklediğiniz için teşekkürler moron. Bizimle dalga geçmemeliydin.
ve DOS'a döner.

Bu trojanda bir tane daha hata var – "NULL", "NULL" yazarak virüs yazarının "> NUL" yazması gereken mesajları devre dışı bırakmak için mevcut dizinde NULL dosyası oluşturur.

Virüs yazarının DOS sayfa sayfalarını alfabetik sırayla öğrenir, "D" ve "F" ile başlayan komutları nasıl kullanacağını bilir, ancak hala "N" (Null) yönergelerine ulaşılamamıştır. Onun DOS Kullanım Kılavuzunu okuyor.

AVP, "Trojan.PKZ300b" adı verilen truva atını, kendiliğinden açılan arşivde olduğu gibi, çıkarılabilir yürütülebilir dosyada algılar.


Orijinaline link