Trojan Dropper

poate sa-mi confirme cineva daca kitul asta contine trojan dropper. momentan nu il detecteaza niciun antivirus. ma intereseaza mai mult modul de functionare. Tind sa cred ca fura parolele retinute din Firefox dar vreau sa stiu si cum si ce procedeu are (rescrie sau nu .js file). Se poate face un research din partea VA Bit? (in cazul in care este infectat desigur)


este un exe de fraps , probabil injectat si cu "frumusetea" asta. nu am putut uploada aici *.zip so l-am pus pe hostul meu. link


password : infected.

Comentarii

  • Salut claudiu,


    Fisierul este curat.

  • claudiu
    editat ianuarie 2011
    Salut claudiu,


    Fisierul este curat.


    gresit. fisierul nu este (si nici nu era) curat. din motive de siguranta l-am eliminat de pe hostul meu. era o versiune de PWS:Win32/Fignotok. Cei de la Microsoft au dat raspunsul corect.

  • csalgau
    csalgau ✭✭
    editat ianuarie 2011

    Salut,


    Am aruncat un ochi si eu pe file mai inainte si intr-adevar nu e curat. E putin tricky si va trebui sa il analizeze cineva mai in detaliu, dar ca rezumat:


    -fisierul oferit este un executabil .NET impachetat


    -contine un installer Fraps clean si un alt executabil clean, inert


    -cel din urma este inlocuit in memorie cu un password stealer, colectand date de la cativa clienti de IM, browsere si download managere.


    Scuze pentru eroare:p


    Update: Partea injectata era deja detectata la rulare. Fisierul ar trebui sa fie detectat ca Trojan.Dropper.MSIL.E in cateva ore.