|
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер около 200 КБ. Упакована при помощи UPX. Распакованный размер – около 518 КБ. Написана на Borland D
Инсталляция
После запуска бэкдор проверяет соответствие своего файлового имени строке:
"IEXPLORE.EXE"
Если это не так, то происходит проверка, не является ли файл копией вредоносной программы, расположенной в системном каталоге Windows в файле с именем "spoolsn.exe":
%System%\spoolsn.exe
Если файл с именем "spoolsn.exe" отсутсвует, происходит проверка наличия файла с именем "klick.sys" в подкаталоге "drivers" системного каталога Windows:
%System%\drivers\klick.sys
и в случае его присутствия в системном каталоге Windows создается и запускается пакетный файл командного интерпретатора с именем "batset.bat":
%System%\batset.bat
Данный файл имеет размер 87 байт, детектируется Антивирусом Касперского как Trojan.BAT.KillAV.ec
После чего бэкдор создает копию своего тела в файле с именем "spoolsn.exe", расположенного в системном каталоге Windows:
%System%\spoolsn.exe
устанавливает данному файлу атрибуты "скрытый" и "системный".
С помощью менеджера служб удаляет службу с именем:
Windows_Serve
и после секундной задержки выполняет регистрацию созданной копии вредоносного файла в качестве автозапускающейся системной службы с именем:
Windows_Serve
отображаемым именем:
Windws_Server
и описанием:
Wndows_Serve
После этого происходит запуск файла-копии:
%System%\spoolsn.exe
а также создание и запуск в системном каталоге Windows пакетного файла командного интерпретатора с именем "Deleteme.bat", выполняющего удаление оригинальной копии вредоносной программы и самого себя.
%System%\Deleteme.bat
после чего происходит завершение текущей копии вредоносной программы.
Деструктивная активность
Бэкдор предоставляет злоумышленнику возможность удаленно управлять компьютером пользователя после его подключения по TCP-протоколу к 8820 порту удаленного сервера "asw412.3***.org":
asw412.3***.org:8820
Злоумышленнику доступны следующие действия:
* получение информации об инфицированной системе: имя машины, список сетевых соединений, тип операционной системы, производительность системы, объём оперативной памяти. Эти данные хранятся в файле-отчете с именем "DDOSBZ.TXT" в системном каталоге Windows:
%System%\DDOSBZ.TXT
* удаление вредоносной программы из системы;
* завершение работы системы, выключение или перезагрузка инфицированной системы;
* использование инфицированной системы в качестве прокси-сервера;
* выполнение различных типов DDOS атак;
* загрузка, сохранение в системный каталог Windows файлов со случайно
сгенерированным именем и их последующий запуск;
* установка стартовой страницы браузера Internet Explorer;
* установка значений различных политик безопасности;
* регистрация автозапуска вредоносных программ.
Наличие работающей вредоносной программы можно отследить по наличию в списке процессов процесса с именем "spoolsn.exe", скрытой копии браузера Internet Explorer – процесса "iexplore.exe".
Также бэкдор производит отключение политики автозапуска файлов на логических дисках путем установки значения параметра системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = 0x00000000
Далее происходит создание копий вредоносного файла в корневых каталогах всех логических дисков в виде файлов с именами "spoolsn.exe":
.\spoolsn.exe
а также файлов с именами "AutoRun.inf" размером 29 байт, обеспечивающих автозапуск этих вредоносных копий.
|
