+7 (843) 267-58-53 | antiviruses.ru | ||
618441287 | [email protected] |
Топ 10
Лидеры продаж |
Trojan.DnsAmp.1 — подробности об угрозе14 августа 2014 года ДропперЧитает 0x90 байт с конца файла, после чего расшифровывает их с помощью алгоритма RC4 с ключом {F918FE01-164A-4e62-9954-EDC8C3964C1B}. Расшифрованные данные имеют следующую структуру:
Данные файлов располагаются по смещениям: "dwSecondDropData - dwFirstDropData" и "Filesize + 0x90 – dwSecondDropData". Далее дроппер расшифровывает файлы с помощью алгоритма RC4 с ключом {E5A42E7E-8130-4f46-BECC-7E43235496A6} для первого файла и ключом {ADAB6D32-3994-40e2-8C18-2F226306408C} для второго. Файлы сохраняются в папку %TEMP%, после чего запускаются. Один из файлов является троянцем Trojan.DnsAmp.1 УстановкаУстанавливает себя в систему под видом автоматически запускающейся службы с именем Windows Test My Test Server 1.0, создает собственную копию в папке %System32% под именем vmware-vmx.exe. После запуска проверяет текущую дату: если она ранее 2013-02-21, троянец бездействует. Вредоносный функционалУстановив соединение с двумя командными серверами, отправляет туда собранную информацию о системе. Если на инфицированном компьютере используется ОС Windows 7 или Windows NT, то отправляемые данные будут иметь вид структуры PC_INFO_WIN7, для остальных версий ОС Windows данные будут иметь вид структуры PC_INFO.
Значение szOSVersion может являться одной из следующих строк:
Отдельным потоком отправляет на сервер информацию о количестве переданных байтов через сетевые интерфейсы. Данные, отправляемые этим потоком, имеют вид:
Может загружать и запускать другие вредоносные приложения. После отправки данных троянец ожидает поступления команд от управляющего сервера. Принимаемые пакеты имеют вид:
Возможны три команды:
При поступлении команды начать DDoS-атаку троянец проверяет текущее состояние соответствующего флага: если атака уже идет, команда игнорируется. Формат параметра для DDoS команды имеет следующий вид:
Поддерживаемый тип атак
При портировании троянца с ОС Linux на ОС Windows авторы отказались от использования атаки типа DNS Amplification, заменив её на атаку типа HTTP Get Flood. Загрузка файловДля скачивания файлов троянец загружает в память библиотеку urlmon.dll и получает адрес функции URLDownloadToFileA. Ссылка на скачивание файла находится по нулевому смещению параметра Parameter структуры CMD_PACKET. Файл скачивается в папку %TEMP%, при этом имя файла формируется следующим образом:
Дата публикации: 15, Августа 2014 г. Источник: Доктор Веб |
Сравнить
<%compare_list%>
Online проверкаНовости
|