Backdoor.Win32.Rbot.bni

Trojan ten ma posta膰 pliku Windows PE EXE o rozmiarze 50 176 bajt贸w. Powsta艂 w j臋zyku programowania Assembler.

Instalacja

Po uruchomieniu backdoor wykorzystuje nazw臋 i 艣cie偶k臋 do swojego oryginalnego pliku w celu wygenerowania identyfikatora GUID, kt贸ry zostanie nast臋pnie wykorzystany do zarejestrowania programu w systemie:

[HKCRCLSID{%GUID%}]
"(default)" = "(losowe symbole)"

[HKCRCLSID{%GUID%}LocalServer32]
"(default)" = "(艣cie偶ka do pliku backdoora)"

Podczas uruchamiania backdoor tworzy kopi臋 swojego cia艂a z nazw膮 "irdvxc.exe" w folderze systemu Windows:

%System%irdvxc.exe

Nast臋pnie uruchamia t膮 kopi臋 co 2 sekundy z nast臋puj膮cymi parametrami wiersza polece艅:

%System%irdvxc.exe /installservice
%System%irdvxc.exe /start

Kopia backdoora tworzy wpis w rejestrze systemowym, kt贸ry wykorzystuje now膮 艣cie偶k臋 do szkodliwego pliku:

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
"(Default)" = "svxqqbkhrbsqsjhq"

[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
"(Default)" = "%System%irdvxc.exe"

Plik tego backdoora zostanie zarejestrowany przy u偶yciu mened偶era instalacji systemu Windows jako us艂uga gdy zostanie wykonane polecenie /installservice. Us艂uga ta zostanie uruchomiona automatycznie wraz ze startem systemu.

Us艂uga ta nazywa si臋 "MSDisk". Pe艂na nazwa us艂ugi to "Network helper Service", a jej opis "Network service for disk management requests".

Podczas rejestrowania us艂ugi tworzony jest nast臋puj膮cy klucz rejestru:

[HKLMSystemCurrentControlSetServicesMSDisk]

Gdy zostanie wykonane polecenie /start, zostanie uruchomiona zarejestrowana us艂uga.

Backdoor tworzy r贸wnie偶 unikatowy identyfikator, “jhdgcjhasgdc09890gjasgcjhg2763876uyg3fhg”, w celu zaznaczenia swojej obecno艣ci w systemie.

Funkcje szkodnika

Co 50 milisekund backdoor tworzy w膮tek, w kt贸rym b臋dzie 艂膮czy艂 si臋 z nast臋puj膮cym serwerem (je偶eli jest dost臋pna sie膰):

www.starman.ee
www.if.ee

Je偶eli w ci膮gu 256 po艂膮cze艅 kt贸rykolwiek z serwer贸w wy艣wietli komunikat o b艂臋dzie informuj膮cy o tym, 偶e zas贸b jest tymczasowo niedost臋pny, po艂膮czenie zostanie wstrzymane na p贸艂 sekundy.

Backdoor rozprzestrzenia si臋 za po艣rednictwem luki w zabezpieczeniach Microsoft Windows DCOM RPC. Pe艂ny opis tej luki znajduje si臋 w Microsoft Security Bulletin MS03-026.

Backdoor wybiera adresy IP do zaatakowania i je偶eli atakowany komputer zawiera luk臋 w zabezpieczeniach DCOM RPC, backdoor uruchomi na nim sw贸j kod.

Je偶eli 偶aden z atakowanych komputer贸w nie zawiera luki w zabezpieczeniach, backdoor b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 przy u偶yciu nast臋puj膮cych nazw u偶ytkownika:

Administrator
Admin

oraz nast臋puj膮ce has艂a:

Admin
root
asdfgh
password
00
000
0000
00000
000000
0000000
00000000
1
12
123
1234
12345
123456
1234567
12345678
123456789
secret
secure
security
setup
shadow
shit
sql
super
sys
system
abc123
access
adm
alpha
anon
anonymous
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
X
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
new
newpass
nick
nobody
nopass
oracle
pass
passwd
server
poiuytre
private
public
qwerty
random
real
remote
ruler
telnet
temp
test
test1
test2
visitor
windows

Je偶eli backdoor zdo艂a ustanowi膰 po艂膮czenie, skopiuje sw贸j plik wykonywalny do foldera systemowego na zaatakowanym komputerze.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu backdoora.
  2. Usu艅 oryginalny plik backdoora (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr z rejestru systemowego:

    [HKCRCLSID{%GUID%}]
    "(default)" = "(losowo wybrane symbole)"

    [HKCRCLSID{%GUID%}LocalServer32]
    "(default)" = "(艣cie偶ka do pliku backdoora)"

    [HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
    "(Default)" = "svxqqbkhrbsqsjhq"

    [HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
    "(Default)" = "%System%irdvxc.exe"

    [HKLMSystemCurrentControlSetServicesMSDisk]

  4. Usu艅 "Network helper Service"
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).