Backdoor.Win32.Httpbot.abe - 28 Февраля 2010 - Вирусам и мошенничеству нет!

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » » Backdoor.Win32.Httpbot.abe

23:43

Backdoor.Win32.Httpbot.abe

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 32011 байт. Упакована MEW. Распакованный размер – около 41 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл:

%System%\sadf.exe

Файл создается с атрибутом "скрытый" (hidden). Для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c del <полный путь к оригинальному файлу бэкдора> >> NUL

После этого бэкдор завершает свою работу.

Деструктивная активность

После запуска бэкдор выполняет следующие действия:

создает уникальный идентификатор с именем:
```
MNUG65JOHA4DMNRON5ZGOORSGAYDS===
```
Извлекает из своего тела файл, который сохраняется в системе как
```
%System%\drivers\PCIDump.sys
```
(4352 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.pj")
Создает и запускает в системе службу с именем "sadfsdfa", исполняемым файлом которой является извлеченный ранее файл.
Подключается к удаленному хосту:
```
ch****66.org
```
Отправляет на хост следующую информацию о системе:
- значение ключа системного реестра
  [HKLM\Hardware\Description\System\CentralProcessor\0] "ProcessorNameString"
- версию операционной системы;
- информацию о текущем использовании системой виртуальной и физической памяти;
- язык, установленный в системе по умолчанию.
Далее бэкдор переходит в цикл ожидания команд. Злоумышленник может посылать бэкдору идентификаторы команд, в зависимости от которых могут выполняться следующие действия:
- идентификаторы 0x100000, 0x2000000 – организация DoS-атак на указанные злоумышленником серверы;
- 0x800000 – выключение компьютера;
- 0x400000 – перезагрузка компьютера;
- 0x4000000 – загрузка файла по полученной от злоумышленника ссылке. Загруженный файл сохраняется в корневом каталоге диска C: как
```
c:\2.exe
```
- 0x8000000 – запуск процесса;
- 0x1000000 – удаление службы "sadfsdfa" и файла "%System%\drivers\PCIDump.sys".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник