Троян извлекает из реестра все пароли и логины Far'а Из HKEY_CURRENT_USER\.DEFAULT\SOFTWARE\Far\Plugins\FTP\Hosts или HKEY_CURRENT_USER\SOFTWARE\Far\Plugins\FTP\Hosts, взависимости от версии Far'a. После запуска троян прописывает себя в автозапуске HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run['ServiceInternet'+%WinDir%+'\internt.exe'] После этого троян производит поиск всех wab(outlook) и abd(TheBat) файлов по всему диску, далее он извлекает все адреса из найденных файлов. Извлеченние адресов для Wab файлов осуществляется путем фильтрации всего файла, из файла считываются те символы, коды которых больше 32, далее из полученного текста и извлекаютя наши адреса, причем один почтовый адрес повторяется по два раза, поэтому и берутся только четные адреса, при открытии wab файла мы сразу же сикаемся на 176563 байт(в начале файла идет мусор не нужный для нас). Извлечение адресов из abd (The Bat) осуществляется почти таким же путем как и из wab файлов, только при открыии файла мы не сикаемся, а остаемся в начале файла и начинаем искать адреса. Далее троян случайным образом генерирует около 1000 случайных адресов, и отсылает себя по ним. После отсылки по всем сгенерируемым адресам, производится флудинг апдейт сайтов и почты АВП. Флудинг почты АВП производится по адресу newvirus@kaspersky.com |