Security Lab

Trojan.Win32.VB.ami

Trojan.Win32.VB.ami

Троянская программа.

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на Visual Basic.

После запуска троянец посылает следующий HTTP-запрос:

http://wwww.ne***.com/rankboost.php?0

Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса:

В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:

http://www.bit***.com
http://www.xit***.com

При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!