конецформыначалоформыСижу за решеткой в темнице сырой, сижу, не пойму троян – кто такой ? Только я обрадовался тому, что у меня почта заработала, вдруг бац ! Получаю от друга письмо с содержанием на чистом английском языке (хотя общаемся мы с ним только по руссски) о том, что он сделал первую свою игру, и сразу шлет мне для тестирования. Что это ?
Прежде всего пугает два факта. Письмо от человека BLIKB, хотя IР-ишник письма пренадлежит IGOR’ю. Оба мои товарищи. Также конечно, меня чайника (хе-хе) удивило то, что первая игра занимает аж 120 килобайт. Ну может на Дельфи писал.. Али картинку с расширением 1600х1200 вставил (и такое было). Все-равно странно, но руки чешуться. Запустить охота ! Ан нет ! Я хитрый ! По гороскопу обезьна говорят. Я сохраняю файл чтобы его обследовать. Называветься он понятно дело – install.exe. Тут и началось…
Так как стоит у меня ТНЕ ВАТ. БэтМен сохранил все нормально. ПОтом я его попробовал открыть WinRar’ом. И пожалел. Не архив это вовсе. А это удар ниже пейджера! Самый обычный ЕХЕшный файл. Который еще и глюканутый к тому же. (или его специально глюканули, чтобы как раз под меня был..) Потомучто насоздавал своих модификаций у меня в корне (на С:) аж SCR, EXE, RAR, PIF и еще чего-то… Они что думали, что я брошись сломя голову запускать все это , чтобы увидеть игрульку ? Старались видать меня подловить.. Ну я сразу все и постирал, прямо тайдом, чтобы не дай бог… Потом смотрю, что-то FAR грузиться с двух попыток стал. И точно – он заражен! Выяснилось, что еще и WinRar заражен ! Но что самое странно – больше ничего. Видать знали, бип, чем я (да и все) пользуються. Слава богам, что на святой ВАТ не полезли..
Теперь как избавиться от него. Если убрать из реестра из автозагрузки его, то он тут же пропишет себя назад. Надо зайти в САЙС (Soft-Ice) инабрать комманду PROC , которая покажет какие ЕХЕшники сечас запущены. Там будет Winkxxx, где ххх – любые символы, да-да, троян постоянно изменяет их. Почему троян ? Потомучто в теле его (которое в Системной директории находиться) присутствуют в открытую строки HELO QUIT DATA FROM RCPT — что говрит о том, что оно (троян) отсылает письмо. Да и тело это скрытое! Я вот DN пользуюсь, он все кажет, и тело и ножки..
Кроме того, я понимаю, что ни BLIKB, ни IGOR послать письмо такое мне не могли, а значит троян уже автивен у них обоих, и они ничего о нем не знают. Троян взял их имена и мой адрес из адресной книги. Конечно, слишкой он уж большой и сразу в глаза бросаеться… Да и потом ничего не делает, хотя бы нарисовал что-ли что-нето.. все-таки Nice_game… Хоть бы мой любимый ТЕТРИС вставили.. Я бы тока через пару дней заметил, что это троян.
Но благо, пароль доступа к провайдеру у меня простой, и состоит всего из трех букв, да нет не то, что ты подумал, а просто MTS. Дык я его сам могу хоть рассылками всем кому надо слать. Все равно у меня не пароль важен, а то, что я звоня с своего телефона.. Страшнее тут, то что пароли от ящиков украдут, хотя подобрать их куда легче у меня, потомучто я из всех слов – только до десяти считать умею.. Вот такой я денормальный.
Потом я пошел в САЙС набрал комманду BPRW WINKxxx и САЙС тут же вылетел в адресное пространство трояна, даже не стал смотреть что он делает, сразу набрал EXIT (в САЙСЕ), и вирус закончился, точнее я его закончил, потом контрольный закрыть и все. (если в САЙС опять вылетел, то введи там FAULTS OFF – вылетать в Винду будешь, а не в САЙС). Потом удалил его (прямо под Виндой) из системной директории, удалил FAR, WINRAR. Установил их поновой. И все нормально ! От трояна избавился. Вот перечень того, что он попытался сделать:
1) заражение только FAR.exe WINRAR.exe
2) изменение конца имени заголовка
3) постоянная запись в реестр-автозагрузка
4) перемещение себя в СИСТЕМ директорию
5) зачем-то в корень С бросает модификации..?
6) заголовок ЕХЕшника намерено испорчен, но определить на каком языке написан троян несложно. Это был VC6++ (прямо так в файле и написано).
7) похоже что сам этот ЕХЕ собой и заражен. То есть дабавлена новая секция в ЕХЕшник по смещению 10000h, также происходит и заражение WinRar и Far..
8) Код и данные совершенно не зашифрован. Шифрован только МЫЛ, куда пароли шлются. Умно, но шифр слабый. Короче просто от HEX – виюивера спрятан и все.
9) судя по всему, кто-то неумело воспользовался чужим трояном. Люди читайте инструкции внимательнее. Бесит ведь не троян, а его размер !
10) К тому же он прописывает себя в шаблон WORD’a ! При выполнении ЛЮБОЙ комманды вызываеться подпрограмма, которая узнает какой-то пароль. Я бы этого и не узнал, если бы не глюк в скрипте. Вылетела ошибка при сохранении в HTML формате (трояна-то уже нет — ему писать некуда, вот и ошибка). Мда.. столько трюкав, а чего ради..
Выводы: первый раз мне бросили троян, да и тот – глюковатый весь, но ЭТО НЕ повод бросать мне ваших троянов! Это повод к тому, чтобы быть более внимательным к тому, что ты запускаешь, а не от кого ты запускаешь. Еще это повод к тому, чтобы оптимизировать собственный трояны! Шифровать их. Минимизировать. Не удивлюсь, если кто-то попадеться на троян написаный на Дельфи, который занимает 1,5 мега, главное тут – социальная победа – заставить юзвера запустить ЕХЕшник !