Trojan-PSW.Win32.Hapday
Этот троян обнаружен на ПК одного из учасников конференции virusinfo.
Троян состоит из одного файла svchost.exe размером 17408 байт, упакован UPX, импортирует статически WSOCK32.DLL, видимого ярлыка и данных о программе не имеет.
При запуске создает ключ реестра для автозагрузки (HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ svchost=C:\WINDOWS\svchost.exe) и копирует себя в папку Windows и Windows\System под именем svchost.exe. В момент запуска пробует определить IP адрес сервера mail.ru через DNS.
Программа видна в списке процессов Windows98 под именем svchost. Видимого проявления не имеет.
В ходе работы программа наручивает счетчик какого-то сайта - запросом вида "GET counter.rambler.ru/top100.cnt?XXXXX" и "GET top.list.ru/counter?id=XXXXX;t=242;js=13;r=...."
Распакованный размер программы составляет 40960 байт. Экспресс-анализ показывает, что написан троян на MS Visual C, основной цикл программы состоит собственно из операций двух типов - "спячки" на разные интервалы времени (порядка 30 сек) и собственно выполнения троянских действий.
Из троянских действий сразу бросается вглаза факт, что в трояне прошит набор возможных папок с программой ICQ (типа c:\program files\icq\2002\) и ключ реестра SOFTWARE\Mirabilis\ICQ\NewOwners\ ... - из них он собирает информацию об ICQ для отправки письма (в коде трояна есть процедура поиска файлов "*.dat", в которых ICQ хранит настройки.
Троян содержит открытым текстом строку "Happy St.Valentine',27h,'s day!!!" и массу адресов вида
katya@mail.ru,
svetik@mail.ru,
hacker@mail.ru ...
Троян при старте не проверяет, запущен ли он - в результате в памяти может находиться несколько его экземпляров.
В теле трояна есть адрес, по которому размещается текущая версия трояна. Этот адрес судя про всему применяется трояном для обновления (в ходе испытаний обновиться он не пожелал, равно как и не захотел передавать пароли для ICQ, т.к. на тестовом ПК ICQ просто нет).