Security Lab

Trojan.Win32.Favadd.m

Trojan.Win32.Favadd.m

Программа написана на Delphi (5.0), и имеет размер около 40 КБ (в упакованном виде). При запуске, добавляет ссылки на хакерские сайты в Internet Explorer (IE):

Программа написана на Delphi (5.0), и имеет размер около 40 КБ (в упакованном виде). При запуске, добавляет ссылки на хакерские сайты в Internet Explorer (IE):

Регистрирует специальное расширение для Internet Explorer:

  
  [HKEY_CURRENT_USER\Software\Microsoft\
  Internet Explorer\Extensions\
  {10954C80-4F0F-11d3-B17C-00C0DFE39736}]
  "ButtonText"="Search cracks at CrackSpider.NET"
   "MenuText"="Search cracks at CrackSpider.NET"
   "MenuStatusBar"="Search cracks at CrackSpider.NET"
   "ClSid"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"
   "Exec"="http://crackspider.net/ie/btn.php"
   "HotIcon"="%WINDIR%\crcspider.ico"
   "Icon"="%WINDIR%\crcspider.ico"
   "Default Visible"="Yes"

Добавляет свои ссылки в поисковый механизм IE:

  
  [Software\Microsoft\Internet Explorer\Search]
   "SearchAssistant"="http://crackspider.net/
  ie/assist.php"
  
  [Software\Microsoft\Internet Explorer\Main]
   "Search Bar"="http://crackspider.net/ie/sbar.php"
  

В папке «Избранное» (Favorites) создает каталог с именем «Freeman CrackLinks», в который помещает ссылки на различные хакерские сайты. Их имена:

  
  ! CrackSpider.NET - Cracks search engine
  !! TheBUGS.ws - Security Related Portal
  !!! CrackPortal.com - Cracks, serial numbers.....
  Astalavista - Cracks search engine ()
  CrackSpider.DE - Cracks search engine
  CrackWay - Since 2001 cracks arhive
  KeyGen.US - Keygens, patches, crackz....
  mscrack.com - Cracks, serial numbers.....
  NeedCrack.us - Cracks search engine
  TheCrack.us - Cracks arhive

В завершение открывает в IE страничку:

http://crackspider.net/ie/first.php

Других вредоносных действий не производит.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!