Odnoklassnikiでのトロイの木馬のテーマの継続

ここから開始： vilgeforce.habrahabr.ru/blog/43746.html



何らかの方法で、WinNt32.dllファイルが被害者のコンピューターに出現し、メモリにロードされ、そのコードが実行されました。 このファイルはネットワークから2つの暗号化されたファイルをダウンロードし、1つは起動され、2つ目はsvchostに挿入されました（Injectedと呼びましょう）。



最初のファイル（Dropper）の分析により、以下が示されました。 操作の最初の段階は、WinNt32.dllの場合と同じです-Sysenter、復号化、メモリへのロード、実行。 この場合のみ、3つのファイルが暗号化されました。 最初はペイロード自体であり、2番目と3番目はペイロードによって使用されます。 ペイロードとは何ですか？ 機能はシンプルで簡単です-以前に復号化された2つのファイルをディスクにドロップします。1つはWinNt32.dllという名前で、もう1つはSys拡張子を持つランダムな名前です。 レジストリに両方のファイルを登録すると、* .sysがサービスによって登録されます。 次に、対応するサービスを開始し、DLLの関数の1つを呼び出します。 私はドライバーの機能を調査しませんでした-これは難しい問題です。 しかし、ドロップされたDLLは、それがすべて開始されたDLLです！ つまり、DownloaderはDropperをシェイクし、DropperはDownloaderを保存して起動します。 そのような「悪循環」。



svchostに挿入されるファイル（Injected）は、DownloaderやDropperとは異なり、暗号化されず、テキスト行のみでその作業を理解することなく、メールで機能することを理解できます。 ほとんどの場合、スパムを送信します。 このファイルには、国内および海外の両方の複数のメールサーバー、さらにはGoogleサーバーが含まれています。

したがって、スパムメールは、おそらくOdnoklassnikiユーザーだけでなく、他のすべてのユーザーが被害を受ける可能性がある、スパムボットの軍隊を作成することを目的としたものです。