17 lipca 2003

Trojan.Java.Nocheat - modyfikuje pliki oraz rejestr systemowy

Jest to koń trojański stworzony w języku programowania Java. Pozwala na modyfikowanie rejestru oraz plików zapisanych na zainfekowanym komputerze.

Trojan składa się z czterech plików:

 • Count.class,
 • Dummy.class,
 • nocheat.class,
 • ok.class.

Plik Count.class ma rozmiar 20686 bajtów. Jego zadaniem jest załadowanie modułu nocheat.class i uruchomienie jego funkcji Init. Za pośrednictwem luki w zabezpieczeniach wirtualnej maszyny Javy nocheat.class ma dostęp do lokalnych plików oraz do rejestru systemowego.

Plik Dummy.class ma rozmiar 235 bajtów. Zawiera pustą funkcję oraz zmienną o nazwie URLClassLoader.

Plik nocheat.class ma rozmiar 6518 bajtów. Jest to główny składnik trojana. Pozwala na wykonywanie następujących komend na zainfekowanym komputerze::

 • HP - modyfikacja strony startowej przeglądarki Internet Explorer,
 • SS - dodawanie do klucza rejestru następującego tekstu:

  \\Internet Settings\\SafeSites,

 • HST - dodawanie tekstu hosts do plików zapisanych w folderze \system32\drivers\etc,
 • FV - tworzenie pliku .url w folderze Ulubione,
 • DT - tworzenie pliku .url w folderze Pulpit,
 • SP - modyfikowanie następujących kluczy rejestru:

  • Internet Explorer, SearchURL,
  • Internet Explorer\\Main, Use Custom Search URL,
  • Internet Explorer\\Main, Search Page,
  • Internet Explorer\\Main, Search Bar,
  • Internet Explorer\\Search, SearchAssistant,
  • Internet Explorer\\Search, CustomizeSearch,
  • Internet Explorer\\Main, Default_Search_URL,
  • Internet Explorer\\Main, Search Page,
  • Internet Explorer\\Search, SearchAssistant.

Plik ok.class ma rozmiar 996 bajtów. Zawiera dwie funkcje - myDefineClass oraz loadClass.