Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

TrojanDownloader. Win32.Greetyah - instaluje konia trojańskiego

Greetyah pobiera z internetu konia trojańskiego i rejestruje go tak, aby był uruchamiany wraz z każdym startem systemu operacyjnego. Szkodnik rozprzestrzenia się w zainfekowanych wiadomościach e-mail, został stworzony przy użyciu języka programowania Assembler, a jego rozmiar to 3072 bajtów.

Zainfekowane wiadomości wyglądają następująco:

Data: 17 marca 2003, 14:57:57
Od: replymsg@g1.gc.vip.sc5.yahoo.com
Do: Ivan Petrov
Temat: Elena_M sent you a Yahoo! Greeting

Treść:

Yahoo! Greetings
Surprise! You've just received a Yahoo! Greeting
from from "Elena_M" (elena_m@mail.ru)!

To view this greeting card, click on the following
Web address at anytime within the next 30 days.

http://view.greetings.yahoo.com/greet/view?***********

If that doesn't work, go to http://view.greetings.yahoo.com/pickup and copy and paste this code:

BJWU37Y2S4A

Enjoy!

The Yahoo! Greetings Team
c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/

Po uruchomieniu szkodnik wyświetla następujący komunikat:

Error
Message: Error on line 25: invalid object
Do you want to debug?

po czym pobiera ze strony WWW plik "sysman32.exe" zawierający konia trojańskiego Trojan.WebMoney.WMPatch.b, kopiuje go do folderu systemowego Windows i tworzy klucz auto-run zapewniający uruchamianie trojana wraz z każdym startem systemu operacyjnego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemManager=\sysman32.exe

W kodzie szkodnika można znaleźć zaszyfrowane teksty:

Error Error on line 25: invalid object
Do you want to debug? InternetOpenA InternetOpenUrlA InternetReadFile
RegOpenKeyA RegSetValueExA RegCloseKey CloseHandle CreateFileA
GetSystemDirectoryA WriteFile wininet.dll advapi32.dll kernel32.dll



 2003-03-18  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych