Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Написана на С++.

Инсталляция

После запуска вредонос перемещает свое оригинальное тело и сохраняет под следующим именем:

%Documents and Settings%/%Current User%/Application Data/rnd.exe

где rnd – случайных 6 латинских букв.

Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd"="%Documents and Settings%/%Current User%/Application Data/rnd.exe"

Деструктивная активность

Далее вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "aciCty21CAjoSS8o". Также выполняет внедрение своего вредоносного кода в адресное пространство процесса "explorer.exe" и всех запущенных системных процессов. Для скрытия своей вредоносной активности, а также для предотвращения своего удаления из системы бэкдор устанавливает системные перехватчики для следующих функций:

NtEnumerateValueKey
NtQueryDirectoryFile
CopyFileA
CopyFileW
DeleteFileA
DeleteFileW
MoveFileA
MoveFileW
CreateFileA
CreateFileW
Send
GetAddrInfoW
HttpSendRequestA
HttpSendRequestW
InternetWriteFile
DnsQuery_A
DnsQuery_W
PR_Write
URLDownloadToFileA
URLDownloadToFileW
RegCreateKeyExA
RegCreateKeyExW

Вредонос блокирует доступ к вэб-ресурсам доменные адреса которых содержат в себе строки:

webroot.
fortinet.
virusbuster.nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
Symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.

Далее бэкдор подключается к IRC-серверу злоумышленника для получения дополнительных команд. Вредонос выполняет подключение к управляющему серверу со следующими параметрами:

IP-адрес:
173.***.103.19

Порт:
8888

Ник:
n{US|XPa}rnd

Пользователь:
rnd

Канал:
#DarkSons#

где rnd – случайные латинские буквы. После подключения, бэкдор сразу получает команду загрузки обновленной версии вредоноса и ссылки, по которым будет производиться загрузка. На момент создания описания вредонос загружал файлы по следующим ссылкам:

http://pictur***eave.com/67cf27c1deb85bc972606e13390b3c2c.exe
http://img1***erosh.com/2011/05/09/134130792.gif
http://movie***boost.in/install.52161.exe

которые сохраняются соответственно под следующими именами:

%Documents and Settings%/%Current User%/Application Data/rnd.exe

–обновленная версия вредоноса, имеет размер 188416 байт и детектируется антивирусом Касперского как Trojan.Win32.Powp.pwt.

%Documents and Settings%/%Current User%/Application Data/1.tmp

–имеет размер 84480 байт и детектируется антивирусом Касперского как Trojan.Win32.Jorik.Skor.acz.

%Documents and Settings%/%Current User%/Application Data/2.tmp

–имеет размер 71168 байт.

Далее загруженные файлы запускаются на выполнение. Вредонос собирает системную информацию, а именно:

• IP адрес и месторасположение зараженной системы;
• Локаль;
• Тип ОС;
• Уровень привилегий текущего пользователя.

IP-адрес и месторасположение системы троянец определяет путем обращения к следующему URL:

http://api.wi***ania.com/

Для приема и передачи параметров создает именованный канал с именем:

//./pipe/OgarD_ipc

Пытается выполнить подключение по следующим URL:

haso***tlgg.com
tama**anslate-google-cache.com
mate***ukatlgg.com
magazin***voddebila.com
ngrbck***adi-ga-van.info
fant***ervebeer.com
ngrbc***uristicka-agencija-reality.co.cc
ngrbck***aintgroup.co.za

Также, в зависимости от полученных команд с сервера злоумышленника, бэкдор может выполнять следующий деструктивный функционал:

• Модифицировать системные файлы:

regsvr32.exe
cmd.exe
rundll32.exe
regedit.exe
verclsid.exe
ipconfig.exe

• Похищать конфиденциальную информацию пользователя, которая сохраняется в браузерах "Firefox" и "MS Internet Explorer". Похищать логины и пароли пользователя для доступа к следующим вэб-ресурсам:

OfficeBanking
LogMeIn
Megaupload
FileServe
Twitter
cPanel
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Microsoft Live
GMX
Gmail
Fastmail
BigString
AOL
YouTube
PayPal

• Выполнять атаку типа отказ от обслуживания DDoS (Distributed Denial of Service) используя следующие методы:

HTTP - флуд
UDP – флуд
SYN – флуд

Тип атаки и адрес жертвы задается злоумышленником.

• Посещать заданные злоумышленником веб-ресурсы.
• Загружать по заданным ссылкам файлы и запускать их на выполнение. Загруженные файлы сохраняются под именем:

%Documents and Settings%/%Current User%/Application Data/имя_временного_файла.tmp

• Заражать вэб-страницы на FTP и HTTP сервере пользователя, добавляя в страницы скрытый фрейм (iframe).
• Выполнять манипуляции с DNS запросами для перенаправления и блокировки доступа к заданным сайтам.
• Создавать SOCKS-прокси сервер на случайном TCP порте.
• Распространятся на съемные носители, а также через IM клиенты.

Распространение

После подключения съемного носителя вредонос перехватывает сообщение системы о нахождении нового устройства и выполняет заражение съемного носителя – копирует свой исполняемый файл под именем:

X:/Recycler/9fddc8d5.exe

где X – буква логического диска съемного носителя. Также помещает в корень диска сопровождающий файл:

X:/autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Файлам устанавливается атрибут "Скрытый".

Также вредонос выполняет распространение вредоносных файлов, используя программы мгновенного обмена сообщениями - MSN, Pidgin, Xchat, mIRC. Вредонос получает от злоумышленника ссылку на вредоносный файл, а также сообщение, которое будет рассылаться всем контактам пользователя. Бэкдор получает сообщение такого вида:

hehhe!
http://my***book-album.tk/profile-pic001634.jpg

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить параметр в ключе системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd"="%Documents and Settings%/%Current User%/Application Data/rnd.exe"

2. Удалить файлы:

%Documents and Settings%/%Current User%/Application Data/rnd.exe
%Documents and Settings%/%Current User%/Application Data/имя_временного_файла.tmp
X:/Recycler/9fddc8d5.exe
X:/autorun.inf

3. Сменить пароли для всех учетных записей посещаемых вэб-сервисов:

OfficeBanking
LogMeIn
Megaupload
FileServe
Twitter
cPanel
AlertPay
Moneybookers
Runescape
DynDNS
NoIP
Steam
Hackforums
Facebook
Yahoo
Microsoft Live
GMX
Gmail
Fastmail
BigString
AOL
YouTube
PayPal

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив