Энциклопедия компьютерных вирусов
Trojan.FreeCD
26 июня 1998 зафиксирована попытка взлома песоналных паролей Dial-Up. В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске имена и пароли входа в Интернет и затем отсылал их своему хозяину. Разосланное письмо содержало заголовок "Free SexCD each guest!!!" и текст:
Free SexCD each guest!!! Sex Viewer (Click on CD icon, and get free SexCD now!) Free Anime Henitai Collection lolita Sex Russian Young women And much more!
В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая на самом деле "развлекает" пользователя еще четырьмя порно-картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результат "вскрытия" системы отсылается обратно автору троянца. Файл-троянец FREECD.EXE написан на MS Visual Basic v 5.0 и для работы требует MSVBVM50.DLL. Имеет достаточно сложную структуру, позволяющую поместить в один достаточно небольшой выполняемый файл несколько различных ресурсов: четыре JPG-картинки и три выполняемых файла, которые в свою очередь объединены в самораспаковывающийся архив, который запускается из вложенного в основной EXE-файл документа Word:
FreeCD.exe +------OleDocument | +---ArchiveZip.exe | |--senm.exe | |--S.EXE | |--S.pif | +--pwv.exe |---Picture1.jpg |---Picture2.jpg |---Picture3.jpg +---Picture4.jpg
Основная программа должна распаковать архив и запустить одну из программ в архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и SENM.EXE) отправлюет их автору (создает файл MES и посылает его на ispp@usa.net). Во время выяснения и отсылания паролей основная программа должна отвлечь пользователя показом картинок и перечислением "интересных" URL:
http://postman.ru/~babaka/links.htm http://nagual.ml.org:8080/~ache/anime/ http://www.holynature.ru/HN_Gallery/index.html http://www.lolitasex.com/
Наличие Российских сайтов недвусмысленно говорит о происхождении троянца. Заголовок основного письма "отпатчен" и письмо в результате выглядит присланным с адреса gree382@ibm.net, но реально адрес "хозяина" другой.
