Trojan ten zapewnia zdalnemu szkodliwemu użytkownikowi dostęp do zaatakowanej maszyny. Jest zarządzany za pomocą IRC. Ma postać pliku PE EXE o rozmiarze 3 704 bajtów.

Instalacja

Podczas instalacji backdoor tworzy proces systemowy, svchost.exe, i wstrzykuje do pamięci procesu swój kod. Backdoor będzie:

• KopiowaÅ‚ swój plik wykonywalny do foldera systemowego. Nazwa, pod którÄ… zostanie zapisany backdoor, tworzona jest w nastÄ™pujÄ…cy sposób: z rejestru systemowego wybierany jest losowo plik. Do koÅ„ca nazwy pliku dodawana jest losowo wybrana maÅ‚a litera z alfabetu Å‚aciÅ„skiego, tak jak w rozszerzeniu .exe.
• W celu zapewnienia sobie automatycznego uruchomienia podczas restartu systemu backdoor dodaje odnoÅ›nik do swojego pliku wykonywalnego w rejestrze systemowym.

  [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  "Wupdate" = "(ścieżka do pliku wykonywalnego backdoora)"

Funkcje szkodnika

Backdoor modyfikuje wartości rejestru systemowego na poniższe wartości:

[HKLMSYSTEMCurrentControlSetServicesAFDParameters]
DisableRawSecurity = 1

Backdoor zamyka również usługę "sharedaccess".

Szkodnik przechwytuje hasła i informacje o kontach użytkowników Microsoft Outlook z następujących parametrów kluczy rejestru:

[HKLMSoftwareMicrosoftInternet Account ManagerAccounts]
SMTP Email Address
SMTP Server
SMTP Port
POP3 User Name
POP3 Server
POP3 Port
IMAP Port
IMAP Server
IMAP User Name
HTTPMail User Name
HTTPMail Server

Przechwytuje hasła i informacje o kontach użytkowników Opera Mail z pliku konfiguracyjnego: Mailaccounts.ini, z którego pobiera wartości następujących parametrów:

Email
Incoming Username
Incoming Servername
Incoming Password

Przechwytuje również zawartość: profilewand.dat

Uzyskuje listę stron internetowych odwiedzanych przez użytkowników.

Przechwycone dane zapisywane są w pliku dziennika, który jest zlokalizowany w folderze systemowym. Plik ten będzie okresowo wysyłany zdalnemu szkodliwemu uzytkownikowi za pośrednictwem poczty elektronicznej.

Backdoor łączy się z serwerem IRC na porcie TCP 6667 i nadsłuchuje poleceń od zdalnego szkodliwego użytkownika.

Backdoor umożliwia zdalnemu szkodliwemu użytkownikowi przeprowadzenie następujących typów ataków:

• atak DDOS przy użyciu pakietów ICMP
• faÅ‚szowanie IP

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

1. Użyj Menedżera zadań w celu zakończenia procesu backdoora.
2. Usuń oryginalny plik backdoora (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
3. Usuń następujący parametr z rejestru systemowego:

   [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
   "Wupdate" = "(ścieżka do pliku wykonywalnego backdoora)"

4. Przywróć wartości kluczy rejestru do wartości oryginalnych:

   [HKLMSYSTEMCurrentControlSetServicesAFDParameters]
   DisableRawSecurity

5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).