Троянская программа, написанная на Visual C. Имеет размер около 80 КБ, упакована FSG.
Троянская программа, написанная на Visual C. Имеет размер около 80 КБ, упакована FSG.
При запуске программа ищет файл "index.html" в директориях "C:\Program Files\EasyPHP1-7\www" и "C:\InetPub\wwwroot", удаляет его и создает новый с таким же именем и следующим содержимым:
<head>
<title>EasyPHP 0wn y0ur b0x !</title>
</head>
<body bgcolor="#000000">
<br/><br/><br/><br/>
<center>
<b><font color="#00FF00" size="7" face="Fixedsys">Web 0wn y0ur b0x !</font></b> <br/><br/><br/> <b><font face="Fixedsys" size="5" color="#FF00FF">Microsoft Windows is bad... Try Linux :)</font></b> </center> </body> </html>
Таким образом, при обращении к корневой директории "/" сайта, файлы которого располагаются в одной из вышеупомянутых двух папок, пользователь увидит в окне браузера текст:
Web 0wn y0ur b0x ! Microsoft Windows is bad... Try Linux :)
Операцию подмены "троянец" производит 24 раза для каждого диска из списка:
CDEFGHIJKLMNOPQRSTUVWXYZZ
После этого "троянец" выводит на экран сообщение:
WeB 0wn y0ur b0x !
И затем завершает свою работу.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках