Вход на сайт
Проблемма TIBS
60 просмотров
Перейти к просмотру всей ветки
в ответ PCYuriy 06.01.06 21:14
Вот наш╦л описание программы ms1.exe
В ответ на:
Trojan-Downloader.LittleTroy.5664
Данный троянец работоспособен тольо под ОС Windows 2K/XP. Загружается из Интернет-сети и устанавливается в систему какой-то др. вредоносной программой.
Файл троянца имеет размер 3616 байт (сжат утилитой компрессии "UPX" версии 1.24; в декомпрессированном виде имеет размер 5664 байта) и записывается в системный каталог Windows как
WINDOWS\ms1.exe
После запуска троянец остается резидентно в памяти компьютера вплоть до завершения работы Windows. Во время работы в сети Интернет пытается соединиться со следующими сайтами:
http://evker.com/%/myurl.txt
http://evker.com/%/7.php
С первого из этих сайтов троянец скачивает на пораженный компьютер какой-то DLL- и EXE-файлы, которые устанавливает в создаваемый им подкаталог в системной директории:
WINDOWS\SYS\%.dll
WINDOWS\SYS\%.exe
Имена DLL- и EXE-файлам троянец присваивает в виде случайных комбинаций цифр и латинских букв, а регистрацию этих файлов для возможности их автозапуска при каждом последующем старте системы осуществляет при помощи стандартной команды регистрации в скрытом режиме "regsvr32 /s".
Со второго сайта троянец скачивает и устанавливает в системную поддиректорию "\System32\" троянский файл
WINDOWS\System32\init32m.exe
Этот файл троянец регистрирует как компонент системного процесса "Explorer.exe", поддерживающего графический интерфейс ядра ОС Windows 2K/XP. Для данной регистрации файла init32m.exe и возможности автозапуска последнего при каждом последующем старте системы троянец изменяет оригинальное значение "Shell" ключа реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
на "Shell"="Explorer.exe C:\\WINDOWS\\System32\\init32m.exe"
Следует отметить, что аналогичный метод для запуска троянской программы использовался в 2002 году во вредоносной программе Backdoor.Chernovtsy.2002, но только для ее скрытой активизации под Windows 9X/ME.
Отчет о загрузках файлов из Интернета троянец хранит в создаваемом им файле
WINDOWS\System32\$$$_.log
Троянский файл ms1.exe антивирусы дэтэктируют так:
Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Agent.ho
Антивирус DrWeb: Trojan.DownLoader.3002
Антивирус BitDefender Professional: Trojan.Dlsw.E (в сжатом виде) и Trojan.Downloader.Agent.HO (в декомпрессированном виде)
Trojan-Downloader.LittleTroy.5664
Данный троянец работоспособен тольо под ОС Windows 2K/XP. Загружается из Интернет-сети и устанавливается в систему какой-то др. вредоносной программой.
Файл троянца имеет размер 3616 байт (сжат утилитой компрессии "UPX" версии 1.24; в декомпрессированном виде имеет размер 5664 байта) и записывается в системный каталог Windows как
WINDOWS\ms1.exe
После запуска троянец остается резидентно в памяти компьютера вплоть до завершения работы Windows. Во время работы в сети Интернет пытается соединиться со следующими сайтами:
http://evker.com/%/myurl.txt
http://evker.com/%/7.php
С первого из этих сайтов троянец скачивает на пораженный компьютер какой-то DLL- и EXE-файлы, которые устанавливает в создаваемый им подкаталог в системной директории:
WINDOWS\SYS\%.dll
WINDOWS\SYS\%.exe
Имена DLL- и EXE-файлам троянец присваивает в виде случайных комбинаций цифр и латинских букв, а регистрацию этих файлов для возможности их автозапуска при каждом последующем старте системы осуществляет при помощи стандартной команды регистрации в скрытом режиме "regsvr32 /s".
Со второго сайта троянец скачивает и устанавливает в системную поддиректорию "\System32\" троянский файл
WINDOWS\System32\init32m.exe
Этот файл троянец регистрирует как компонент системного процесса "Explorer.exe", поддерживающего графический интерфейс ядра ОС Windows 2K/XP. Для данной регистрации файла init32m.exe и возможности автозапуска последнего при каждом последующем старте системы троянец изменяет оригинальное значение "Shell" ключа реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
на "Shell"="Explorer.exe C:\\WINDOWS\\System32\\init32m.exe"
Следует отметить, что аналогичный метод для запуска троянской программы использовался в 2002 году во вредоносной программе Backdoor.Chernovtsy.2002, но только для ее скрытой активизации под Windows 9X/ME.
Отчет о загрузках файлов из Интернета троянец хранит в создаваемом им файле
WINDOWS\System32\$$$_.log
Троянский файл ms1.exe антивирусы дэтэктируют так:
Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.Agent.ho
Антивирус DrWeb: Trojan.DownLoader.3002
Антивирус BitDefender Professional: Trojan.Dlsw.E (в сжатом виде) и Trojan.Downloader.Agent.HO (в декомпрессированном виде)