Акуратно вирус.


гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
Назад к темам раздела.
2008-03-31 17:56:12 гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
Персонаж
Рассылает всем ссылку на архив в котором сидит Win32/Statik.
Тема создана для того что бы поменьше людей поймали вирус.
Пустой ап приветствуется.
 
2008-03-31 17:56:57 гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
 
2008-03-31 17:57:09 гильдия Мудрецы (Адепт)[1557] гильдия Бойцы (Элита)[140685] Маннорох Информация
Kimgim
кто?
 
2008-03-31 17:57:44 гильдия Мудрецы (Адепт)[1115] гильдия Бойцы (Грандмастер)[30470] гильдия Портные (Элита)[202145] Скарлетт Информация
Kimgim
случайно не ссылку на http://..../P1010115.jpg ?
 
2008-03-31 17:58:12 гильдия Столичные Шахтеры (Новичок)[44] гильдия Бойцы (Мастер)[4249] woW_gun Информация
Kimgim
а какие именно могут быть последствия?
 
2008-03-31 17:58:15 гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
Скарлетт
Нет другая )
 
2008-03-31 17:58:54 гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
woW_gun
Хм , не проверял . Просто просканировал ссылку и решил предупредить народ.
 
2008-03-31 17:59:06 гильдия Бойцы (Грандмастер)[43230] гильдия Портные (Новичок)[0] ТУШКАНЧИК Информация
woW_gun
взломает чара и т.д)
 
2008-03-31 17:59:36 гильдия Бойцы (Мастер)[9103] гильдия Охотники Илдиора (Новичок)[80] Орда Орков (На пенсии) AsaG Информация
woW_gun
Технические детали


Троянская программа, относящаяся к семейству троянов, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер — 25600 байт. Упакована при помощи UPX, распакованный размер — около 250 КБ. Написана на Ассемблере.Деструктивная активность


После запуска троянец добавляет следующую запись в системный реестр:
[HKLMSystemControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:<имя троянца без расширения>"

Троянец непрерывно ищет в системе окна с именами класса «AVP.AlertDialog», «AVP.AhAppChangedDialog», «AVP.AhLearnDialog» и имитирует в них нажатия на кнопки «Разрешить», «Allow», «Skip», «Создать правило», «Apply to all», «Remember this action». Закрывает окна с именем класса «AVP.Product_Notification».

Троянец непрерывно ищет в системе окна с заголовком, содержащим следующие строки: «Kaspersky Anti-Hacker — Создать правило для» или «Kaspersky Anti-Hacker — Create a rule for» и имитирует нажатия на кнопку «Разрешить однократно» или «Allow Once».

Также троянская программа имитирует нажатия на кнопку «OK» в окнах с заголовками:
Внимание: некоторые компоненты изменились
Warning: Components Have Changed
Скрытый процесс запрашивает сетевой доступ
Hidden Process Requests Network Access

Троянец собирает информацию о жестком диске, количестве свободного места на нем; об учетной записи текущего пользователя, сетевом имени компьютера, версии операционной системы, типе процессора; возможностях экрана, установленных на компьютере; программах, запущенных процессах и существующих в системе dialup-соединениях.

Троянец ищет файлы account.cfg и account.cfn в папках:
%Documents and Settings%<имя текущего пользователя>Application DataBatMail
%Documents and Settings%<имя текущего пользователя>Application DataThe Bat!

А также в папках, на которые указывают параметры ключа реестра:
[HKCUSoftwareRITThe Bat!]
Working Directory
ProgramDir

Содержимое найденных файлов похищается.

Троянец получает из реестра путь к установленному Mirabilis ICQ, ищет в его папке файлы с расширением DAT и похищает их содержимое. Также получает значения следующих ключей реестра:
[HKCUSoftwareMirabilisICQNewOwners]
[HKLMSoftwareMirabilisICQNewOwners]

Троянская программа ищет файлы с расширением DAT и похищает их содержимое посредством считываения пути к установленой Miranda из раздела реестра:
[HKLMSoftwareMiranda]
Install_Dir

Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:
[HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache]

И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallRQ]
UninstallString

и использует его для поиска файла andrq.ini.

Троянец получает путь к папке с установленным Trillian из ключа реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallTrillian]

В реестре прочитывает содержимое файла usersglobalprofiles.ini, извлекая информацию о текущих профилях пользователя. Также читает имена пользователей и пароли из файла aim.ini.

Также троянец получает путь к папке с установленным Total Commander из следующих ключей реестра:
[HKCUSoftwareGhislerWindows Commander]
[HKCUSoftwareGhislerTotal Commander]
[HKLMSoftwareGhislerWindows Commander]
[HKLMSoftwareGhislerTotal Commander]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander]
UninstallString
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallTotal Commander XP]
UninstallString
[HKCUSOFTWAREMicrosoftWindowsShellNoRoamMUICache]
Totalcmd.exe

В указанной папке, а также в папке %WinDir% ищет файл wcx_ftp.ini или ftp.ini, в котором находит параметры и получает их значения:
host
username
password
directory
method

Троянская программа получает путь к папке из следующего ключа реестра:
[HKCUSoftwareRimArtsB2Settings],

ищет в ней файл Mailbox.ini, в котором получает значения следующих параметров:
UserID
MailAddress
MailServer
PassWd

Троянец получает список записей адресной книги, а также пароли на учетные записи Microsoft Outlook из ключа реестра:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesOutlook]

Троянец получает путь к установленным CuteFTP и CuteFTP Professional, ищет и похищает содержимое файлов:
sm.dat
tree.dat
smdata.dat

Троянец получает значения параметров из файла %WinDir%edialer.ini:
LoginSaved
PasswordSaved

Троянская программа получает список ключей раздела
[HKCUSoftwareFarPluginsFTPHosts]

В найденных ключах получает значения следующих параметров:
HostName
User
Password
Description

Троянец читает из реестра путь к установленному браузеру Opera и ищет файл profilewand.dat (с последующим похищением содержимого) в папке браузера, а также по указанному пути:
%Documents and Settings%<имя пользователя>Application DataOpera

Получает из реестра путь к установленному браузеру Mozilla и похищает содержимое всех файлов в папке Profiles.

Троянец получает путь к программе QIP из ключа реестра
[HKCUSoftwareMicrosoftWindowsShellNoRoam]
"qip.exe"

и ищет в его папке в подпапке Users все имеющиеся папки после чего читает из файлов Config.ini, расположенных в этих папках, следующие значения:
Password
NPass

Троянец читает содержимое файла
%Documents and Settings%<имя пользователя>Application DataThunderbirdProfiles.ini

и извлекает из него пути к профилям, по которым далее ищет файлы signons.txt и prefs.js и получает их содержимое.

Получает значения всех подключей ключа реестра:
[HKCUSoftwareMail.RuAgentmra_logins]

Троянец читает из файла
%Documents and Settings%<имя пользователя>Application DataQualcommEudoraEudora.ini

следующие параметры:
RealName
ReturnAddress
PopServer
LoginName
SavePasswordText

Читает путь к папке с установленным Punto Switcher из ключа реестра:
[HKCUSoftwarePunto Switcher]

и читает содержимое файла "diary.dat".

Читает значения файла
%Documents and Settings%<имя пользователя>Application Data.gaimaccounts.xml

Троянец похищает содержимое файлов, которые находятся в профилях Firefox. Также похищает содержимое файла FileZilla.xml, получая путь к папке с установленным FileZilla из ключа реестра:
[HKCUSoftwareFileZilla]
Install_Dir

Получает из реестра путь к папке с FlashFXP и похищает содержимое файла Sites.dat.

Троянец похищает содержимое файлов:
%WinDir%VD3User.dat
%WinDir%Vd3main.dat,

а также таких файлов, как:
%Documents and Settings%<имя пользователя>Application DataSmartFTPClient 2.0Favorites Favorites.dat
%Documents and Settings%<имя пользователя>Application DataSmartFTPFavorites.dat
%Documents and Settings%<имя пользователя>Application DataSmartFTPHistory.dat
[HKCUSoftwareCoffeeCup SoftwareInternetProfiles]

Из подключей ключа данного реестра похищаются следующие значения:
HostName
Port
Username
Password
ItemName

Троянская программа читает значение параметра в ключе реестра
[HKCUSoftwareMicrosoftWindowsShellNoRoam]
USDownloader.exe

и использует его для поиска следующих файлов, содержимое которых похищает:
USDownloader.lst
Depositfilesl.txt
Megauploadl.txt
Rapidsharel.txt

Аналогично троянец поступает со значением параметра в ключе реестра
[HKCUSoftwareMicrosoftWindowsShellNoRoam]
rapget.exe,

используя его для поиска файлов:
rapget.ini
links.dat

Также похищается содержимое файлов с расширением .rdp, находящихся в папке:
%Documents and Settings%<имя пользователя>Мои документы

Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника
 
2008-03-31 18:00:06 гильдия Бойцы (Мастер)[9103] гильдия Охотники Илдиора (Новичок)[80] Орда Орков (На пенсии) AsaG Информация
Чисто поржать)))
 
2008-03-31 18:00:58 гильдия Столичные Шахтеры (Новичок)[44] гильдия Бойцы (Мастер)[4249] woW_gun Информация
AsaG
 
2008-03-31 18:01:09 гильдия Охотники Илдиора (Грандмастер)[56626] Kimgim Информация
Цитата:
Акуратно вирус

*Аккуратно*
 
2008-03-31 18:11:31 гильдия Охотники Илдиора (Мастер)[10839] Juliette5 Информация
AsaG
ООО!
AsaG писал(а):
Отчет со всей собранной информацией троянская программа отправляет на электронную почту злоумышленника
оставляя взломанный компьютер полность обезкровленным и истощённым
 
2008-03-31 18:16:18 гильдия Мудрецы (Мастер)[5827] гильдия Бойцы (Адепт)[930] гильдия Королевские Лабоходы (Ученик)[276] Дарадина Информация
AsaG
Ну ты и написал. Стока букаф :(