Энциклопедия компьютерных вирусов
Trojan.AOL.Buddy
текст написан Алексеем Подрезовым, Data Fellows Ltd.
Троянский конь "Trojan.Aol.Buddy" (также известен под именем "PennyTools Trojan") ворует пароли входа в Интернет у пользователей известного провайдера America Online. На сегодняшний день (май 1999) известны две версии этого "троянца".
Использует очень хитрый способ внедрения на компьютеры: применяются одновременно 5 различных уловок для создания дополнительных трудностей для удаления троянца.
1. При помощи системного реестра Windows, изменяя ключ RUN, для запуска скрытого файла C:\COMMAND.EXE, содержащего в себе тело этого троянца.
2. При помощи изменения файла SYSTEM.INI, добавляя в него ссылку на скринсэйвер C:\Windows\System\WINSAVER.EXE. Система заражается в момент запуска этого скринсэйвера.
3. При помощи изменения файла WIN.INI, добавляя в него запуск скрытого файла C:\America Online 4.0\BUDDYLIST.EXE в строку "LOAD=". Интересно то, что между самим именем файла и строкой "LOAD=" троянец ставит ровно 80 символов, так чтобы пользователь не смог сразу увидеть эту ссылку.
4. Также в файл WIN.INI добавляется запуск скрытого файла C:\Windows\System\NortonAntiVir\REGISTRYREMINDER.EXE в строку "RUN="
5. В папку автозагрузки (\Windows\Start Menu\Programs\Startup) добавляется файл AIM REMINDER.EXE
Также в каталоге \Windows\System создается файл VCLCNTL.DLL, содержащий отнюдь не DLL код, а определенные текстовые данные, необходимые самому троянцу. При запуске Windows он также запускается, используя один из описанных выше способов, и остается активным все время работы операционной системы. Программа находит и посылает имя и пароль пользователя системы America Online на адреса электронной почты qware4019@hotmail.com или ha015312@hotmail.com (зависит от версии троянца).
