Кража WebMoney с помощью сервиса ICQ.

Троян предназначен был для кражи денег с аккаунтов WebMoney. Сам
по себе он не слишком интересен, если бы не новый способ управления, а именно
с помощью icq.

1. Дроппер
(часть кода, отвечающая за проникновение в систему и сокрытия в ней)

Дроппер изначально непакованный, размером в 26 кб. Строки частично
"пошифрованы", а точнее разбиты на части и склеиваются во время исполнения.
Дроппер скидывает в системную папку два файла utf8.dll и unicode.dll, для
которых выставляются даты соответствующие установке системы. Затем дроппер
прописывает utf8.dll в

SOFTWARE\MicrosoftWindows\CurrentVersion\ShellService\Object\DelayLoad
(это запись в реестре, посмотреть ее можно с помощью regedit.exe)

под GUID {E6FB5E20-DE35-11CF-9C87-00AA005127ED}.
Файлы utf8.dll и unicode.dll размером соответсвенно 4 кб и 18.5 кб. Последний
в добавок еще и упакован. Утф8 выполняет функцию лоадера для юникод.длл.

2. Граббер
(часть кода отвечающая непосредственно за сам процесс кражи средств, паролей и т.д)

Unicode.dll будучи загруженный в эксплорер (explorer.exe), ставит виндовые хуки для
распространения себя любимой по процессам. Таким образом проникая и в
webmoney.exe. Проникнув в процесс вебмани, длл выставляет хуки на GetWindowText
и SetWindowText.
Троян не заморачивается с автозаливами и прочим бредом, а просто ждет когда
юзверь решит переслать кому-нить немного деньжат, а когда это случится - хуки
на GetWindowText "случайно" вернут не тот wmid, куда и отправлятся деньжатки и
слегка не ту сумму которую хотелось бы.
Даже если бабло переводится с кодом протекции, то и они замечательно
записываются дллкой, а затем и отправляются хозяину. Отправка идет на обычный
хттп хост, в виде гет запроса. Чуваки так обленились что юзают просто
URLDownloadToFile для запроса в стату.
После успешного перевода денег, в реестре ставится отметка, и при следующем
запуске вебманей система виснет намертво, так как для исполняемого потока
выставляется приоритет реал-тайм и прога уходит в вечный цикл.
Отсюда конечно вопрос, где же тут управление по icq? Управление по аське идет
как получение настроек, а именно - того хттп хоста, куда сливать инфу о кодах
протекции, а также минимальную сумму для грабинга. Помимо этого можно
загрузить любой ехе коммандной "load:". Реализация сего проста до безобразия:
бот заходит на

hттp://www.icq.com/people/full_details_show.php?uin=373496601

где написана замечательная строка, заключенная в . Бот её грабит,
расшифровывает и парсит. В случае закрытия хттп хоста для отстука, например,
бот получит с сервака асику новый хост и все будет пучком.
Приемущество управления - можно не боятся за то что хост закроют. Недостатки
очевидны - icq.com будет боротся с такими вот левыми номерками, и потерять номер
будет аналогично тому что потерять хост для отстука для обычного бота.

Итого, пока не спалят - оригинально, но суть та же самая. Ну а у своих
воровать не красиво :)