B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Backdoor.Win32.Hupigon.cpu

Backdoor ten posiada szkodliw膮 funkcj臋. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 730KB. Powsta艂 przy u偶yciu 艣rodowiska programistycznego Borland Delphi.

Instalacja

Funkcja szkodliwa sk艂ada si臋 z szeregu opcji, kt贸re s膮 definiowane podczas generowania programu.

Po uruchomieniu trojan por贸wnuje swoj膮 nazw臋 z ci膮giem "IEXPLORE.EXE". Je艣li z艂o艣liwy kod nie jest zlokalizowany w zainfekowanym procesie, wtedy:

Backdoor okre艣la liter臋 dysku logicznego (%SysChar%), w kt贸rym zlokalizowany jest folder systemu Windows. Przy u偶yciu tej litery dysku logicznego program formu艂uje nast臋puj膮cy ci膮g: 

%SysChar%:Program FilesCommon FilesMicrosoft SharedMSINFOAhntdce.exe

Nazwa uruchomionego programu por贸wnywana jest z tym ci膮giem.

Je艣li nazwy s膮 r贸偶ne, z艂o艣liwy program zostanie zainstalowany w systemie. Je艣li s膮 takie same, backdoor dostarczy swoj膮 szkodliw膮 funkcj臋.

Proces instalacji przebiega nast臋puj膮co:

Kopia pliku z艂o艣liwego programu o nazwie "Ahntdce.exe" tworzona jest w nast臋puj膮cym folderze: 

%SysChar%:Program FilesCommon FilesMicrosoft SharedMSINFOAhntdce.exe

Je艣li istnieje ju偶 taki plik, zostanie on usuni臋ty przed wykonaniem kopii z艂o艣liwego programu. Skopiowany plik posiada atrybuty "tylko do odczytu" i "systemowy".

Program sprawdza nast臋pnie, do jakiej rodziny nale偶y system operacyjny, aby okre艣li膰, w jaki spos贸b zostan膮 automatycznie uruchomione kopie z艂o艣liwych program贸w.

Dla rodziny system贸w operacyjnych Windows NT zostanie stworzona us艂uga systemowa. B臋dzie to widoczne na li艣cie us艂ug: 

"AhnLab Tdce Scheduler"

Jest to us艂uga interaktywna, kt贸ra zostanie uruchomiona automatycznie wraz ze startem systemu.

Dla rodziny system贸w operacyjnych Windows 9X w rejestrze systemowym zostanie stworzony nast臋puj膮cy wpis:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Ahntdce.exe" = "%SysChar%:Program FilesCommon Files
Microsoft SharedMSINFOAhntdce.exe"

Nast臋pnie zostanie uruchomiona kopia z艂o艣liwego programu, niezale偶nie od typu systemu operacyjnego.

Nast臋pnie w tym samym folderze co kopia z艂o艣liwego programu zostanie utworzony i uruchomiony plik wsadowy interpretera polece艅. Plik ma nazw臋 "Delet.bat" i usuwa zar贸wno siebie, jak i oryginalny plik backdoora: 

%SysChar%:Program FilesCommon FilesMicrosoft SharedMSINFODelet.bat

Funkcje szkodnika

Gdy z艂o艣liwy program ustali, 偶e jest kopi膮, a nie oryginalnym plikiem, zostanie wywo艂ana przegl膮darka Internet Explorer. 

%SysChar%:Program FilesInternet ExplorerIEXPLORE.EXE

Nast臋pnie z艂o艣liwy program zostanie wczytany do pami臋ci, poprawiony i wstrzykni臋ty do procesu "IEXPLORE.EXE".

Nast臋pnie backdoor b臋dzie sprawdza艂, czy istnieje po艂膮czenie internetowe. Je艣li Internet jest dost臋pny, backdoor analizuje adres internetowy zdefiniowany w kodzie z艂o艣liwego programu. Je艣li jest to odno艣nik do pliku, odno艣nik taki zostanie odczytany.

Nast臋pnie zostanie ustanowione po艂膮czenie ze zdalnym serwerem.

Backdoor utworzy ci膮g zawieraj膮cy informacje o komputerze u偶ytkownika, zaszyfruje go i wy艣le do zdalnego serwera.

Nast臋pnie tworzony jest w膮tek w celu nads艂uchiwania polece艅 pochodz膮cych z serwera.

Z艂o艣liwy program mo偶e przechwytywa膰 komunikaty okien, a tak偶e wykonywa膰 zrzuty ekranu.

Backdoor mo偶e modyfikowa膰 stron臋 startow膮 przegl膮darki:

[HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
"HomePage"

Mo偶e r贸wnie偶 zezwoli膰 na uruchomienie terminali, kt贸re zapewni膮 zdalny dost臋p do maszyny.

[HKLMSystemCurrentControlSetControlTerminal Server]
"fDenyTSConnections" = 0x00000000

Pobiera r贸wnie偶 list臋 proces贸w, ko艅czy okre艣lony proces, wyszukuje pliki, pobiera list臋 plik贸w i przesy艂a wyznaczone pliki, tworzy i usuwa wyznaczone pliki, pobiera dodatkowe modu艂y itd.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na komputerze nie jest aktualne lub u偶ytkownik nie korzysta z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  1. Zako艅czy膰 us艂ug臋 z艂o艣liwego programu: 
    net stop "AhnLab Tdce Scheduler"
  2. U偶y膰 Mened偶era zada艅 w celu zako艅czenia wszystkich kopii procesu "iexplore.exe", procesu "ahntdce.exe" oraz procesu oryginalnego z艂o艣liwego pliku.
  3. Usun膮膰 oryginalny z艂o艣liwy plik oraz nast臋puj膮cy plik: 
    %SysChar%:Program FilesCommon FilesMicrosoft SharedMSINFOAhntdce.exe
  4. Usun膮膰 nast臋puj膮cy klucz z rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Ahntdce.exe" = "%SysChar%:Program FilesCommon FilesMicrosoft
    SharedMSINFOAhntdce.exe"

  5. Przywr贸ci膰 nast臋puj膮ce warto艣ci parametru:

    [HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]
    "HomePage"
    [HKLMSystemCurrentControlSetControlTerminal Server]
    "fDenyTSConnections"

  6. Uaktualni膰 antywirusowe bazy danych i wykona膰 pe艂ne skanowanie komputera (mo偶na w tym celu u偶y膰 wersji testowej oprogramowania Kaspersky Anti-Virus)


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl