В Сети опубликован исходный
код загрузчика трояна, заразившего в
результате нашумевшей эпидемии множество
хостов в Интернет. Как пишет сам автор,
исходный код загружался с различных
ресурсов сервера 217.107.218.147, принадлежащего
московской компании E-Neverland Internet Solutions.
Заражение и загрузка происходили по
следующей схеме (в порядке очерёдности)
заражённая машина -> перенаправление ->
http://217.107.218.147/dot.php (перенаправление) -> new.htm
-> выполнение связки md.htm & shellscript_loader.js ->
выполнение shellscript.js, который, собственно, и
загружаел тело трояна msits.exe с последующей
инсталляцией в системе. Приведены исходные
коды файлов new.htm, md.htm и скриптов shellscript_loader.js,
shellscript.js. Действие самого трояна достаточно
подробно описано на сайте Symantec, в бюллетене
которой также приведены меры по устранению
трояна. Напомним также, что уязвимость в IIS 5
(через которую, собственно, и происходил
взлом серверов) закрывал патч, описанный в
бюллетене по безопасности MS04-11

Исходники
и описание

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии