Исходный код загрузчика трояна, заразившего Интернет

29/06/2004 21:18

Franck Olivel из французской компании K-OTik Security опубликовал исходный код загрузчика трояна, заразившего в результате нашумевшей эпидемии множество хостов в Интернет. Как пишет сам автор, Исходный код загружался с различных ресурсов сервера 217.107.218.147, принадлежащего московской компании E-Neverland Internet Solutions. Заражение и загрузка происходили по следующей схеме (в порядке очерёдности) заражённая машина -> перенаправление -> http://217.107.218.147/dot.php (перенаправление) -> new.htm -> выполнение связки md.htm & shellscript_loader.js -> выполнение shellscript.js, который, собственно, и загружаел тело трояна msits.exe с последующей инсталляцией в системе. Приведены исходные коды файлов new.htm, md.htm и скриптов shellscript_loader.js, shellscript.js. Действие самого трояна достаточно подробно описано на сайте Symantec, в бюллетене которой также приведены меры по устранению трояна. Напомним также, что уязвимость в IIS 5 (через которую, собственно, и происходил взлом серверов) закрывал патч, описанный в бюллетене по безопасности MS04-11.
Исходники и описание
Бюллетень Symantec