Энциклопедия компьютерных вирусов

           

Еще две программы являются утилитами


Еще две программы являются утилитами компрессии/декомпрессии файлов - они используются для копирования файлов с/на удаленный "сервер".

При запуске троянец инициализирует сокеты Windows, создает файл WINDLL.DLL и системном каталоге Windows, определяет адреса нескольких Windiows API, ищет свою копию в памяти и выгружает ее из памяти, если таковая обнаружена (т.е. обновляет свою версию). Затем троянец копирует себя в системный каталог Windows и регистрирует его в реестре как авто-запускаемый процесс:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Затем троянец перехватывает один из сокетов Windows (по умолчанию - сокет 31337) и остается в памяти Windows как скрытое приложение (т.е. без активного окна и ссылки в списке приложений). Основная процедура перехвата сообщений затем ждет команд от удаленного клиента. Сокеты команды передаются в зашифрованном виде. В зависимости от команды троянец выполняет следующие действия:


  • высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.


  • разрешить удаленный доступ к дискам (sahre)


  • искать файл на дисках


  • послать/принять файл, также как уничтожить, скопировать, переименовать, выполнить любой файл


  • создать/уничтожить каталог


  • упаковать/распаковать файл


  • отключает текущего пользователя от сети


  • завешивает компьютер


  • высылает список активных процессов


  • выгружает указанный процесс


  • подключается к сетевым ресурсам


  • gets and sends cashed passwords (p/words that were used during current seance), then looks for ScreenSaver password (decrypts and sends them)


  • выводит MessageBox


  • читает/модифицирует системный реестр


  • открывает/перенаправляет другие сокеты TCP/IP


  • поддерживает протокол HTTP и эмулирует Web-сервер (т.е. троянцем можно управлять при помощи броузера)


  • проигрывает звуковые файлы


  • перехватывает, запоминает и затем высылает строки, вводимые с клавиатуры в момент подсоединения компьютера к сети


  • и т.д.


    • Троянец также позволяет расширить список своих функций при помощи подключаемых ресурсов (plug-in).Они могут быть переданы на "сервер" и инсталлированы там как часть троянца и в дальнейшем могут выполнять практически любые действия на пораженном компьютере.


    Содержание  Назад  Вперед




    Forekc.ru
    Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий