Security Lab

Trojan.Win32.Defacer.a

Trojan.Win32.Defacer.a

Троянская программа, написанная на Visual C. Имеет размер около 80 КБ, упакована FSG.

Троянская программа, написанная на Visual C. Имеет размер около 80 КБ, упакована FSG.

При запуске программа ищет файл "index.html" в директориях "C:\Program Files\EasyPHP1-7\www" и "C:\InetPub\wwwroot", удаляет его и создает новый с таким же именем и следующим содержимым:

<head>
<title>EasyPHP 0wn y0ur b0x !</title>
</head>
<body bgcolor="#000000">
<br/><br/><br/><br/>
<center>
<b><font color="#00FF00" size="7" face="Fixedsys">Web 0wn y0ur b0x !</font></b> <br/><br/><br/> <b><font face="Fixedsys" size="5" color="#FF00FF">Microsoft Windows is bad... Try Linux :)</font></b> </center> </body> </html>

Таким образом, при обращении к корневой директории "/" сайта, файлы которого располагаются в одной из вышеупомянутых двух папок, пользователь увидит в окне браузера текст:

Web 0wn y0ur b0x ! Microsoft Windows is bad... Try Linux :)

Операцию подмены "троянец" производит 24 раза для каждого диска из списка:

CDEFGHIJKLMNOPQRSTUVWXYZZ

После этого "троянец" выводит на экран сообщение:

WeB 0wn y0ur b0x !

И затем завершает свою работу.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!