Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (-PE–EXE файл)-.
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 29493 байта. Написана на C++.
Инсталляция
После запуска бэкдор выполняет следующие действия:
- для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
MsSyncronizationManager
MsArbiterManager - Копирует свое тело в файлы:
%System%\wuaucldt.exe
%USERPROFILE%\wuaucldt.exe - Для автоматического запуска созданных копий при каждом следующем старте системы создает следующие ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Ключи создаются в отдельном потоке в бесконечном цикле через каждые 5 секунд, что усложняет процесс удаления бэкдора.
"syncman" = "%System%\wuaucldt.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"syncman" = "%USERPROFILE%\wuaucldt.exe" - Запускает созданные копии на выполнение.
name="doc3">
Деструктивная активность
После запуска бэкдор запускает на выполнение экземпляр процесса "SVCHOST.EXE", внедряя в его адресное пространство исполняемый код, реализующий следующий функционал:
- создается уникальный идентификатор с именем:
scmservice_mutex
- Устанавливается соединение с одним из следующих хостов:
174.***.203
174.***.201
174.***.134
68.***.4
black.n***tom.com
che***ash.com - Далее на сервер злоумышленника отправляется GET-запрос, после чего бэкдор переходит в цикл ожидания команд. По команде злоумышленника бэкдор может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как
%Temp%\nvhg0.tmp
- Кроме того, выполняется запуск новых экземпляров процесса "SVCHOST.EXE", с внедрением в их адресные пространства вредоносного кода. Таким образом, в системе одновременно присутствуют несколько экземпляров процесса "SVCHOST.EXE", реализующих рассмотренный функционал.