Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Написана на С++.
Инсталляция
После запуска вредонос перемещает свое оригинальное тело и сохраняет под следующим именем:
%Documents and Settings%\%Current User%\Application Data\где rnd - случайных 6 латинских букв. Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
""="%Documents and Settings%\%Current User%\
Application Data\.exe"
name="doc3">
Деструктивная активность
Далее вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "aciCty21CAjoSS8o". Также выполняет внедрение своего вредоносного кода в адресное пространство процесса "explorer.exe" и всех запущенных системных процессов. Для скрытия своей вредоносной активности, а также для предотвращения своего удаления из системы бэкдор устанавливает системные перехватчики для следующих функций:
NtEnumerateValueKeyВредонос блокирует доступ к вэб-ресурсам доменные адреса которых содержат в себе строки:
NtQueryDirectoryFile
CopyFileA
CopyFileW
DeleteFileA
DeleteFileW
MoveFileA
MoveFileW
CreateFileA
CreateFileW
Send
GetAddrInfoW
HttpSendRequestA
HttpSendRequestW
InternetWriteFile
DnsQuery_A
DnsQuery_W
PR_Write
URLDownloadToFileA
URLDownloadToFileW
RegCreateKeyExA
RegCreateKeyExW
webroot.Далее бэкдор подключается к IRC-серверу злоумышленника для получения дополнительных команд. Вредонос выполняет подключение к управляющему серверу со следующими параметрами: IP-адрес:
fortinet.
virusbuster.nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
Symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.
173.***.103.19Порт:
8888Ник:
nXPaПользователь:
Канал:
#DarkSons#где rnd - случайные латинские буквы. После подключения, бэкдор сразу получает команду загрузки обновленной версии вредоноса и ссылки, по которым будет производиться загрузка. На момент создания описания вредонос загружал файлы по следующим ссылкам:
http://pictur***eave.com/67cf27c1deb85bc972606e13390b3c2c.exeкоторые сохраняются соответственно под следующими именами:
http://img1***erosh.com/2011/05/09/134130792.gif
http://movie***boost.in/install.52161.exe
%Documents and Settings%\%Current User%\Application Data\Далее загруженные файлы запускаются на выполнение. Вредонос собирает системную информацию, а именно:.exe -обновленная версия вредоноса, имеет размер 188416
байт и детектируется антивирусом Касперского как
Trojan.Win32.Powp.pwt.
%Documents and Settings%\%Current User%\Application Data\1.tmp -
имеет размер 84480 байт и детектируется антивирусом Касперского
как Trojan.Win32.Jorik.Skor.acz.
%Documents and Settings%\%Current User%\Application Data\2.tmp -
имеет размер 71168 байт.
- IP адрес и месторасположение зараженной системы-
- Локаль-
- Тип ОС-
- Уровень привилегий текущего пользователя.
IP-адрес и месторасположение системы троянец определяет путем обращения к следующему URL:
http://api.wi***ania.com/Для приема и передачи параметров создает именованный канал с именем:
\\.\pipe\OgarD_ipcПытается выполнить подключение по следующим URL:
haso***tlgg.comТакже, в зависимости от полученных команд с сервера злоумышленника, бэкдор может выполнять следующий деструктивный функционал:
tama**anslate-google-cache.com
mate***ukatlgg.com
magazin***voddebila.com
ngrbck***adi-ga-van.info
fant***ervebeer.com
ngrbc***uristicka-agencija-reality.co.cc
ngrbck***aintgroup.co.za
- Модифицировать системные файлы:
regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe - Похищать конфиденциальную информацию пользователя, которая сохраняется в браузерах "Firefox" и "MS Internet Explorer". Похищать логины и пароли пользователя для доступа к следующим вэб-ресурсам:
OfficeBanking
LogMeIn
Megaupload
FileServe
Twitter
cPanel
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Microsoft Live
GMX
Gmail
Fastmail
BigString
AOL
YouTube
PayPal - Выполнять атаку типа отказ от обслуживания DDoS (Distributed Denial of Service) используя следующие методы:
HTTP - флуд
Тип атаки и адрес жертвы задается злоумышленником.
UDP - флуд
SYN - флуд - Посещать заданные злоумышленником веб-ресурсы.
- Загружать по заданным ссылкам файлы и запускать их на выполнение. Загруженные файлы сохраняются под именем:
%Documents and Settings%\%Current User%\Application
Data\<имя_временного_файла>.tmp - Заражать вэб-страницы на FTP и HTTP сервере пользователя, добавляя в страницы скрытый фрейм (iframe).
- Выполнять манипуляции с DNS запросами для перенаправления и блокировки доступа к заданным сайтам.
- Создавать SOCKS-прокси сервер на случайном TCP порте.
- Распространятся на съемные носители, а также через IM клиенты.
Распространение
После подключения съемного носителя вредонос перехватывает сообщение системы о нахождении нового устройства и выполняет заражение съемного носителя - копирует свой исполняемый файл под именем:
где X - буква логического диска съемного носителя. Также помещает в корень диска сопровождающий файл::\Recycler\9fddc8d5.exe
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Файлам устанавливается атрибут "Скрытый".:\autorun.inf
Также вредонос выполняет распространение вредоносных файлов, используя программы мгновенного обмена сообщениями - MSN, Pidgin, Xchat, mIRC. Вредонос получает от злоумышленника ссылку на вредоносный файл, а также сообщение, которое будет рассылаться всем контактам пользователя. Бэкдор получает сообщение такого вида:
hehhe!
http://my***book-album.tk/profile-pic001634.jpg