Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (-PE-EXE файл)-.

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 69120 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 410 КБ. Написана на C++.

Инсталляция

В зависимости от параметров запуска бэкдор копирует свое тело в файл:

%APPDATA%\netprotocol.exe

%System%\netprotocol.exe

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"  

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"  

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol"="%System%\netprotocol.exe"  

Деструктивная активность

После запуска вредонос обращается к следующим серверам для получения команд дальнейшей работы:

http://kr***amdx.com/  http://ka***seuk.com/  http://ari***u.com/  http://l***irt.co.cc/  

%WorkDir%\netprotdrvss

• успешная установка бэкдора в системе:

  /nconfirm.php?rev=346&code=3m=0&num=40401870851072

• запрос на получение команды:

  /njob.php?num=&rev=346

• запрос на загрузку файла "netprotdrvss":

  /nconfirm.php?rev=346&code=7m=0&num=  40401870851072

  Число "" генерируется на основе текущего системного времени. Подстрока "" - имя сервера из вышеприведенного списка. Для своей дальнейшей работы вредонос создает файл конфигурации, который располагается по следующему пути:

  %WorkDir%\System.log

  Помимо этого вредонос встраивает в посещаемые пользователем страницы Java Script код, предназначенный для отображения рекламы следующего ресурса:

  http://begun.ru

  Также бэкдор предназначен для «накрутки» статистики посещаемости сайтов - с сервера злоумышленника приходят поисковые запросы и ссылки на ресурсы, рейтинг которых необходимо повысить.

  Вредонос изменяет стартовую страницу, а также систему поиска по умолчанию для следующих браузеров:

  Internet Explorer  Opera  Mozilla Firefox  

• Модифицирует значение параметров следующих ключей системного реестра:

  [HKCU\Software\Microsoft\Internet Explorer\Main]  "Start Page" = "http://we***olta.ru"    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\  {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]  "DisplayName"="Webvolta"  "URL"="http://we***olta.ru/search.php?q={searchTerms}"  

• создает файл в системном каталоге Windows:

  %System%\operaprefs_fixed.ini

  Файл содержит следующие строки:

  [User Prefs]  Startup Type=2  Home URL= http://we***olta.ru  

• модифицирует файл:

  %APPDATA%\Mozilla\Firefox\Profiles\.default\user.js

  Где - произвольная последовательность из цифр и букв латинского алфавита. записывает следующие строки

  user_pref("dom.disable_window_status_change", false)-  user_pref("startup.homepage_override_url", "http://w***olta.ru")-  user_pref("browser.startup.page", 1)-  user_pref("browser.startup.homepage", "http://w***olta.ru")-  user_pref("browser.search.selectedEngine", "Webvolta")-  

• создает файл по следующему пути:

  %APPDATA%\Mozilla\Firefox\Profiles\.default\  searchplugins\webvolta.xml  

  Файл содержит следующие строки:

    Webvolta  Webvolta search.  windows-1251      

  Также бэкдор выполняет следующие действия:
• будучи запущенным с параметрами:

  /updatefile3  /updatefile2  /updatefile1  

  бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.
• Вызывая функцию "InternetClearAllPerSiteCookieDecisions", очищает содержимое ветви системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\  Internet Settings\P3P\History]  

• Создает ключи системного реестра:

  [HKLM\Software\Microsoft\Netprotocol]  "UniqueNum" = ""    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\  .Current]  "(Default)" = ""    [HKLM\Software\Classes\MIME\Database\Content Type\  application/x-javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"    [HKLM\Software\Classes\MIME\Database\Content Type\  text/javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2. Удалить ключи системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol"="%System%\netprotocol.exe"    [HKLM\Software\Microsoft\Netprotocol]  "UniqueNum" = ""    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]  "(Default)" = ""    [HKLM\Software\Classes\MIME\Database\Content Type\  application/x-javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"    [HKLM\Software\Classes\MIME\Database\Content Type\  text/javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"  

3. Восстановить оригинальные значения параметров системного реестра:

   [HKCU\Software\Microsoft\Internet Explorer\Main]  "Start Page"    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\  {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]  "DisplayName"  "URL"=  

4. Удалить файлы:

   %APPDATA%\netprotocol.exe  %System%\netprotocol.exe  %WorkDir%\netprotdrvss  %WorkDir%\System.log  %System%\operaprefs_fixed.ini  %APPDATA%\Mozilla\Firefox\Profiles\.  default\user.js  %APPDATA%\Mozilla\Firefox\Profiles\.  default\searchplugins\webvolta.xml  

5. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.