Backdoor.Win32.Rbot.bni
Po uruchomieniu backdoor wykorzystuje nazw臋 i 艣cie偶k臋 do swojego oryginalnego pliku w celu wygenerowania identyfikatora GUID, kt贸ry zostanie nast臋pnie wykorzystany do zarejestrowania programu w systemie:
[HKCRCLSID{%GUID%}LocalServer32]
"(default)" = "(losowe symbole)"
"(default)" = "(艣cie偶ka do pliku backdoora)"
Podczas uruchamiania backdoor tworzy kopi臋 swojego cia艂a z nazw膮 "irdvxc.exe" w folderze systemu Windows:
%System%irdvxc.exe
Nast臋pnie uruchamia t膮 kopi臋 co 2 sekundy z nast臋puj膮cymi parametrami wiersza polece艅:
%System%irdvxc.exe /installservice %System%irdvxc.exe /start
Kopia backdoora tworzy wpis w rejestrze systemowym, kt贸ry wykorzystuje now膮 艣cie偶k臋 do szkodliwego pliku:
[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
"(Default)" = "svxqqbkhrbsqsjhq"
"(Default)" = "%System%irdvxc.exe"
Plik tego backdoora zostanie zarejestrowany przy u偶yciu mened偶era instalacji systemu Windows jako us艂uga gdy zostanie wykonane polecenie /installservice. Us艂uga ta zostanie uruchomiona automatycznie wraz ze startem systemu.
Us艂uga ta nazywa si臋 "MSDisk". Pe艂na nazwa us艂ugi to "Network helper Service", a jej opis "Network service for disk management requests".
Podczas rejestrowania us艂ugi tworzony jest nast臋puj膮cy klucz rejestru:
Gdy zostanie wykonane polecenie /start, zostanie uruchomiona zarejestrowana us艂uga.
Backdoor tworzy r贸wnie偶 unikatowy identyfikator, “jhdgcjhasgdc09890gjasgcjhg2763876uyg3fhg”, w celu zaznaczenia swojej obecno艣ci w systemie.
Co 50 milisekund backdoor tworzy w膮tek, w kt贸rym b臋dzie 艂膮czy艂 si臋 z nast臋puj膮cym serwerem (je偶eli jest dost臋pna sie膰):
www.starman.ee www.if.ee
Je偶eli w ci膮gu 256 po艂膮cze艅 kt贸rykolwiek z serwer贸w wy艣wietli komunikat o b艂臋dzie informuj膮cy o tym, 偶e zas贸b jest tymczasowo niedost臋pny, po艂膮czenie zostanie wstrzymane na p贸艂 sekundy.
Backdoor rozprzestrzenia si臋 za po艣rednictwem luki w zabezpieczeniach Microsoft Windows DCOM RPC. Pe艂ny opis tej luki znajduje si臋 w Microsoft Security Bulletin MS03-026.
Backdoor wybiera adresy IP do zaatakowania i je偶eli atakowany komputer zawiera luk臋 w zabezpieczeniach DCOM RPC, backdoor uruchomi na nim sw贸j kod.
Je偶eli 偶aden z atakowanych komputer贸w nie zawiera luki w zabezpieczeniach, backdoor b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 przy u偶yciu nast臋puj膮cych nazw u偶ytkownika:
Administrator Admin
oraz nast臋puj膮ce has艂a:
Admin root asdfgh password 00 000 0000 00000 000000 0000000 00000000 1 12 123 1234 12345 123456 1234567 12345678 123456789 secret secure security setup shadow shit sql super sys system abc123 access adm alpha anon anonymous backdoor backup beta bin coffee computer crew database debug default demo X go guest hello install internet login mail manager money monitor network new newpass nick nobody nopass oracle pass passwd server poiuytre private public qwerty random real remote ruler telnet temp test test1 test2 visitor windows
Je偶eli backdoor zdo艂a ustanowi膰 po艂膮czenie, skopiuje sw贸j plik wykonywalny do foldera systemowego na zaatakowanym komputerze.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu backdoora.
- Usu艅 oryginalny plik backdoora (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy parametr z rejestru systemowego:
[HKCRCLSID{%GUID%}]
"(default)" = "(losowo wybrane symbole)"[HKCRCLSID{%GUID%}LocalServer32]
"(default)" = "(艣cie偶ka do pliku backdoora)"[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
"(Default)" = "svxqqbkhrbsqsjhq"[HKCRCLSID{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}LocalServer32]
"(Default)" = "%System%irdvxc.exe"[HKLMSystemCurrentControlSetServicesMSDisk]
- Usu艅 "Network helper Service"
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).