Backdoor.Win32.Breplibot.b

Jest to program, kt贸ry mo偶e zosta膰 wykorzystany jako narz臋dzie zdalnej administracji. Backdoor mo偶e by膰 kontrolowany poprzez kana艂y IRC. Szkodnik ma posta膰 pliku PE EXE o rozmiarze 10 240 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 31 KB). Backdoor zosta艂 masowo rozes艂any przy u偶yciu technologii spamowych.

Instalacja

Po uruchomieniu backdoor kopiuje si臋 do foldera WindowsSystem z nazw膮 $sys$drv.exe . Dzi臋ki takiej nazwie szkodliwy kod mo偶e zosta膰 ukryty w systemie przy u偶yciu technologii rootkit stosowanej przez firm臋 Sony. Jednak, jest to mo偶liwe tylko na komputerach, na kt贸rych zainstalowano ochron臋 mechanizm ochrony DRM stosowany na niekt贸rych muzycznych p艂ytach CD dystrybuowanych przez firm臋 Sony.

Backdoor tworzy w rejestrze systemowym nast臋puj膮cy klucz:

[HKCUWkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
"$sys$drv"="$sys$drv.exe"

Dodatkowo, backdoor tworzy dwa unikatowe identyfikatory w celu oznaczenia zainfekowanego systemu:

SonyEnabled
$sys$drv.exe

Po wykonaniu powy偶szych czynno艣ci oryginalny plik backdoora (z kt贸rego zosta艂 pierwotnie uruchomiony) jest usuwany.

Funkcje backdoora

Szkodnik 艂膮czy si臋 z wymienionymi poni偶ej kana艂ami IRC i oczekuje na polecenia zdalnego cyber-przest臋pcy:

68.101.14.76 
24.210.44.45 
67.171.67.190 
35.10.203.93 
152.7.24.186 

Backdoor pozwala zdalnemu cyber-przest臋pcy na uzyskanie pe艂nego dost臋pu do zainfekowanego komputera.

Dodatkowo, szkodnik posiada funkcj臋 pozwalaj膮c膮 na omijanie zapory ogniowej wbudowanej w system Windows XP. Backdoor dodaje w艂asny proces do listy dozwolonych program贸w, w wyniku czego wykonywane przez niego operacje nie s膮 blokowane przez zapor臋.