2008-03-31 17:56:12 Kimgim Персонаж Рассылает всем ссылку на архив в котором сидит Win32/Statik. Тема создана для того что бы поменьше людей поймали вирус. Пустой ап приветствуется. | ||
2008-03-31 17:56:57 Kimgim | ||
2008-03-31 17:57:09 Маннорох Kimgim кто? | ||
2008-03-31 17:57:44 Скарлетт Kimgim случайно не ссылку на https://..../P1010115.jpg ? | ||
2008-03-31 17:58:12 woW_gun Kimgim а какие именно могут быть последствия? | ||
2008-03-31 17:58:15 Kimgim Скарлетт Нет другая ) | ||
2008-03-31 17:58:54 Kimgim woW_gun Хм , не проверял . Просто просканировал ссылку и решил предупредить народ. | ||
2008-03-31 17:59:06 ТУШКАНЧИК woW_gun взломает чара и т.д) | ||
2008-03-31 17:59:36 AsaG woW_gun Технические детали Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.Деструктивная активность После запуска троянец добавляет следующую запись в системный реестр: [HKLMSystemControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList] "<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>" Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification». Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once». Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками: Внимание: некоторые компоненты изменились Warning: Components Have Changed Скрытый процесс запрашивает сетевой доступ Hidden Process Requests Network Access Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях. Троянец ищет файлы account.cfg и account.cfn в папках: %Documents and Settings%<имя текущего пользователя>Application DataBatMail %Documents and Settings%<имя текущего пользователя>Application DataThe Bat! А также в папках, на которые указывают параметры ключа реестра: [HKCUSoftwareRITThe Bat!] Working Directory ProgramDir Содержимое найденных файлов похищается. Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра: [HKCUSoftwareMirabilisICQNewOwners] [HKLMSoftwareMirabilisICQNewOwners] Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра: [HKLMSoftwareMiranda] Install_Dir Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра: [HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache] И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallRQ] UninstallString и использует его для поиска файла andrq.ini. Троянец получает путь к папке с установленным Trillian из ключа реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallTrillian] В реестре прочитывает содержимое файла usersglobalprofiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini. Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра: [HKCUSoftwareGhislerWindows Commander] [HKCUSoftwareGhislerTotal Commander] [HKLMSoftwareGhislerWindows Commander] [HKLMSoftwareGhislerTotal Commander] [HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander] UninstallString [HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander XP] UninstallString [HKCUSOFTWAREMicrosoftWindowsShellNoRoamMUICache] Totalcmd.exe В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения: host username password directory method Троянская программа получает путь к папке из следующего ключа реестра: [HKCUSoftwareRimArtsB2Settings], ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров: UserID MailAddress MailServer PassWd Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра: [HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesOutlook] Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов: sm.dat tree.dat smdata.dat Троянец получает значения параметров из файла %WinDir%edialer.ini: LoginSaved PasswordSaved Троянская программа получает список ключей раздела [HKCUSoftwareFarPluginsFTPHosts] В найденных ключах получает значения следующих параметров: HostName User Password Description Троянец читает из реестра путь к установленному браузеру Opera и ищет файл profilewand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути: %Documents and Settings%<имя пользователя>Application DataOpera Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles. Троянец получает путь к программе QIP из ключа реестра [HKCUSoftwareMicrosoftWindowsShellNoRoam] "qip.exe" и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения: Password NPass Троянец читает содержимое файла %Documents and Settings%<имя пользователя>Application DataThunderbirdProfiles.ini и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое. Получает значения всех подключей ключа реестра: [HKCUSoftwareMail.RuAgentmra_logins] Троянец читает из файла %Documents and Settings%<имя пользователя>Application DataQualcommEudoraEudora.ini следующие параметры: RealName ReturnAddress PopServer LoginName SavePasswordText Читает путь к папке с установленным Punto Switcher из ключа реестра: [HKCUSoftwarePunto Switcher] и читает содержимое файла "diary.dat". Читает значения файла %Documents and Settings%<имя пользователя>Application Data.gaimaccounts.xml Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра: [HKCUSoftwareFileZilla] Install_Dir Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat. Троянец похищает содержимое файлов: %WinDir%VD3User.dat %WinDir%Vd3main.dat, а также таких файлов, как: %Documents and Settings%<имя пользователя>Application DataSmartFTPClient 2.0Favorites Favorites.dat %Documents and Settings%<имя пользователя>Application DataSmartFTPFavorites.dat %Documents and Settings%<имя пользователя>Application DataSmartFTPHistory.dat [HKCUSoftwareCoffeeCup SoftwareInternetProfiles] Из подключей ключа данного реестра похищаются следующие значения: HostName Port Username Password ItemName Троянская программа читает значение параметра в ключе реестра [HKCUSoftwareMicrosoftWindowsShellNoRoam] USDownloader.exe и использует его для поиска следующих файлов, содержимое которых похищает: USDownloader.lst Depositfilesl.txt Megauploadl.txt Rapidsharel.txt Аналогично троянец поступает со значением параметра в ключе реестра [HKCUSoftwareMicrosoftWindowsShellNoRoam] rapget.exe, используя его для поиска файлов: rapget.ini links.dat Также похищается содержимое файлов с расширением .rdp, находящихся в папке: %Documents and Settings%<имя пользователя>Мои документы Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника | ||
2008-03-31 18:00:06 AsaG Чисто поржать))) | ||
2008-03-31 18:00:58 woW_gun AsaG | ||
2008-03-31 18:01:09 Kimgim
*Аккуратно* | ||
2008-03-31 18:11:31 Juliette5 AsaG ООО!
| ||
2008-03-31 18:16:18 Дарадина AsaG Ну ты и написал. Стока букаф :( | ||