5 marca 2003

Trojan.WebMoney.Wmpatch - kradnie dane systemu WebMoney

Jest to koń trojański składający się z dwóch modułów wykonywalnych: DBOLE.EXE oraz SICKBOY.EXE. Rozprzestrzenia się za pośrednictwem poczty elektronicznej.

Wiadomość trojana wygląda następująco:

Od: Greeting cards [greeting_cards@yahoo.com]
Data wysłania: 5 marca 2003, godz. 8:20
Do: To: Ivan Petrov
Temat: tekst w języku rosyjskim

Treść wiadomości również zapisana jest w języku rosyjskim i zawiera łącze do rzekomej kartki pocztowej umieszczonej w serwisie http://www.yahoo-greeting-cards.com.

Plik DBOLE.EXE

Moduł ten został stworzony przy użyciu języka programowania C, a jego rozmiar to 32768 bajtów. Trojan szuka w systemie klienta systemu WebMoney i zmienia jeden z jego plików - "WMClient.dll" dopisując dodatkowy kod, który tworzy dwa pliki zawierające zaszyfrowane dane: c:\wmkey.bin oraz c:\wmmem.bin oraz plik raportu c:\wmlog.bin.

Następnie trojan tworzy w rejestrze systemowym klucz auto-run i w ten sposób zapewnia sobie uruchamianie wraz z każdym startem systemu operacyjnego.

W kodzie szkodnika można znaleźć następujące teksty

kernel32.dll rock the block c:\wmkey.bin c:\wmmem.bin CreateFileA WriteFile CloseHandle lstrlen CopyFileA DatabaseOLE false Software\Microsoft\Windows\CurrentVersion\Run Command line: '%s' - Memory allocation failed + Shutting down - Bad file version - File writing error + File written + Prepare to patch + Entry point at %d (%x) + Patch at %d (%x) + Reading ok, %d bytes read - Error reading file + Memory allocation ok File size: %d bytes + Open file ok - WM not installed - Error opening file Patching: %s + Get path ok %s + Starting WMClient.dll Software\Webmoney\Path %s c:\wmlog.bin

Plik SICKBOY.EXE

Moduł ten również został stworzony przy użyciu języka programowania C, a jego rozmiar to 28672 bajtów. Rezyduje on w pamięci zainfekowanego komputera i wysyła pod adres sickboy@centrum.cz trzy pliki: c:\wmlog.bin, c:\wmmem.bin oraz c:\wmkey.bin.

W tym celu szkodnik łączy się z serwerem SMTP i konwertuje pliki binarne do postaci tekstowej. W kodzie trojana można znaleźć następujące teksty:

\xfm1.txt RegisterServiceProcess kernel32.dll c:\wmkey.bin c:\wmmem.bin c:\wmlog.bin WebMoney Keeper QUIT Subject: %s DATA RCPT TO: sickboy@centrum.cz MAIL FROM: HELO localhost 62.84.131.172 SOFTWARE\Webmoney\Options file not found Filename plain text: %s %.2x Filename bin: %s