В Сети опубликован исходный
код загрузчика трояна, заразившего в
результате нашумевшей эпидемии множество
хостов в Интернет. Как пишет сам автор,
исходный код загружался с различных
ресурсов сервера 217.107.218.147, принадлежащего
московской компании E-Neverland Internet Solutions.
Заражение и загрузка происходили по
следующей схеме (в порядке очерёдности)
заражённая машина -> перенаправление ->
http://217.107.218.147/dot.php (перенаправление) -> new.htm
-> выполнение связки md.htm & shellscript_loader.js ->
выполнение shellscript.js, который, собственно, и
загружаел тело трояна msits.exe с последующей
инсталляцией в системе. Приведены исходные
коды файлов new.htm, md.htm и скриптов shellscript_loader.js,
shellscript.js. Действие самого трояна достаточно
подробно описано на сайте Symantec, в бюллетене
которой также приведены меры по устранению
трояна. Напомним также, что уязвимость в IIS 5
(через которую, собственно, и происходил
взлом серверов) закрывал патч, описанный в
бюллетене по безопасности MS04-11

Исходники
и описание

Оставить мнение