DDoS.Kozog — Win32-троянец, который позволяет организовать DDoS-атаку (распределенная атака «отказ в обслуживании»). Троянец был «выпущен на свободу» хакером или группой хакеров в ноябре 2000 года. Эта троянская программа была разослана по электронной почте в виде присоединенного файла. Письмо с трояном выглядит следующим образом:
From: World Travel Agency Ltd. [office4@worldtravel.com] Sent: November 21, 2000 5:31 PM
To: All tourists and vacationist
Subject: Celebrate the New Millenium!World Travel Agency Ltd.
359 BTC Drive
P.O. Box 134108
Seattle, WA 98108-23
USADear Sir/Madam
Celebrate the New Millenium! Discover the Paradise!
We offer the most attractive package for the New Millenium celebrations you have ever seen.
Pure nature, modern architecture and high technologies are fused to create the perfect resort.
Reasonable prises, correctness, high quality services.
Click on the zip-file below to see our offer!
Make your neighbours envy!Best Regards,
Присоединенный файл, содержащий троянца, замаскирован под ZIP-архив, но на самом деле это Windows EXE-файл с именем: «OFFER2001.ZIP [много пробелов] .EXE». Этот файл является «инсталлятором» троянца.
При запуске EXE-файла («инсталлятора» троянца), он записывает в системную директорию Windows два исполняемых файла:
MRE.DLL
SOUNDV.EXE
На компьютерах, работающих по Win9x и WinNT эти файлы регистрируются в секциях авто-запуска системы различными путями: под WinNT троянец регистрирует файл SOUNDV.EXE в системном реестре:
SOFTWAREMicrosoftWindowsCurrentVersionRun soundv.exe
Под Win9x троянец регистрирует DLL-файл в SYSTEM.INI:
drivers=mre.dll
После этого троянец показывает ложное сообщение об ошибке:
Error
A requred DLL does not exist.
При следующем старте системы троянец будет активным (как скрытое приложение) и это позволит злоумышленникам активизировать опцию авто-набора номера для входа в интернет и затем запустить DoS-атаку на сервер «kozirog.netissat.net».
Kozog — новая троянская программа