Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (-PE-EXE файл)-.
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 69120 байт. Упакована неизвестным упаковщиком. Распакованный размер - около 410 КБ. Написана на C++.
Инсталляция
В зависимости от параметров запуска бэкдор копирует свое тело в файл:
%APPDATA%\netprotocol.exeИли создает свою копию в системном каталоге Windows:
%System%\netprotocol.exeДля автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe"Если данный ключ создать не удается, бэкдор создает ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe"Если файл был скопирован в системный каталог Windows, то создается ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol"="%System%\netprotocol.exe"После этого бэкдор запускает созданную копию на выполнение.
Деструктивная активность
После запуска вредонос обращается к следующим серверам для получения команд дальнейшей работы:
http://kr***amdx.com/ http://ka***seuk.com/ http://ari***u.com/ http://l***irt.co.cc/После чего переходит в цикл ожидания команд. По команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая обновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем каталоге бэкдора как:
%WorkDir%\netprotdrvssПосле успешной загрузки файл запускается на выполнение. Запросы к серверу злоумышленника, к примеру, могут иметь следующий вид:
- успешная установка бэкдора в системе:
/nconfirm.php?rev=346&code=3m=0&num=40401870851072 - запрос на получение команды:
/njob.php?num= &rev=346 - запрос на загрузку файла "netprotdrvss":
Число "/nconfirm.php?rev=346&code=7m=0&num= 40401870851072 " генерируется на основе текущего системного времени. Подстрока " " - имя сервера из вышеприведенного списка. Для своей дальнейшей работы вредонос создает файл конфигурации, который располагается по следующему пути: %WorkDir%\System.log
Помимо этого вредонос встраивает в посещаемые пользователем страницы Java Script код, предназначенный для отображения рекламы следующего ресурса:http://begun.ru
Также бэкдор предназначен для «накрутки» статистики посещаемости сайтов - с сервера злоумышленника приходят поисковые запросы и ссылки на ресурсы, рейтинг которых необходимо повысить.Вредонос изменяет стартовую страницу, а также систему поиска по умолчанию для следующих браузеров:
Internet Explorer Opera Mozilla Firefox
- Модифицирует значение параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "http://we***olta.ru" [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\ {0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "DisplayName"="Webvolta" "URL"="http://we***olta.ru/search.php?q={searchTerms}"
- создает файл в системном каталоге Windows:
%System%\operaprefs_fixed.ini
Файл содержит следующие строки:[User Prefs] Startup Type=2 Home URL= http://we***olta.ru
- модифицирует файл:
%APPDATA%\Mozilla\Firefox\Profiles\
Где.default\user.js - произвольная последовательность из цифр и букв латинского алфавита. записывает следующие строки user_pref("dom.disable_window_status_change", false)- user_pref("startup.homepage_override_url", "http://w***olta.ru")- user_pref("browser.startup.page", 1)- user_pref("browser.startup.homepage", "http://w***olta.ru")- user_pref("browser.search.selectedEngine", "Webvolta")-
- создает файл по следующему пути:
%APPDATA%\Mozilla\Firefox\Profiles\
Файл содержит следующие строки:.default\ searchplugins\webvolta.xml
Также бэкдор выполняет следующие действия:Webvolta Webvolta search. windows-1251 - будучи запущенным с параметрами:
/updatefile3 /updatefile2 /updatefile1
бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника. - Вызывая функцию "InternetClearAllPerSiteCookieDecisions", очищает содержимое ветви системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\P3P\History]
- Создает ключи системного реестра:
[HKLM\Software\Microsoft\Netprotocol] "UniqueNum" = "
" [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\ .Current] "(Default)" = "" [HKLM\Software\Classes\MIME\Database\Content Type\ application/x-javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" [HKLM\Software\Classes\MIME\Database\Content Type\ text/javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol"="%System%\netprotocol.exe" [HKLM\Software\Microsoft\Netprotocol] "UniqueNum" = "
" [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current] "(Default)" = "" [HKLM\Software\Classes\MIME\Database\Content Type\ application/x-javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" [HKLM\Software\Classes\MIME\Database\Content Type\ text/javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" - Восстановить оригинальные значения параметров системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\ {0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "DisplayName" "URL"=
- Удалить файлы:
%APPDATA%\netprotocol.exe %System%\netprotocol.exe %WorkDir%\netprotdrvss %WorkDir%\System.log %System%\operaprefs_fixed.ini %APPDATA%\Mozilla\Firefox\Profiles\
. default\user.js %APPDATA%\Mozilla\Firefox\Profiles\ . default\searchplugins\webvolta.xml - Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.