Backdoor.Win32.Prexot.a

Jest to backdoor pozwalaj膮cy zdalnemu cyberprzest臋pcy na zarz膮dzanie zainfekowanym komputerem. Posiada r贸wnie偶 funkcje robaka sieciowego. Szkodnik ma posta膰 pliku PE EXE o rozmiarze 130 023 bajt贸w (kompresja CryptExe).

Instalacja

Po uruchomieniu backdoor kopiuje si臋 do foldera systemu Windows z nast臋puj膮cymi nazwami:

%Windows%msdef.exe
%Windows%services.exe

i tworzy w rejestrze klucz zapewniaj膮cy mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"RPCser32g"="%Windir%services.exe"

Szkodnik modyfikuje poni偶szy klucz rejestru w celu zablokowania us艂ugi Shared Access.

[HKLMSystemCurrentControlSetServicesSharedAccess] "Start"="4"

Dodatkowo backdoor modyfikuje poni偶sze klucze:

[HKCUSoftwareMicrosoftInternet Explorer]
"IEPgfsgdc"="1"

[HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies]
[HKLMSoftwareMicrosoftWindowsCurrentVersionpolicies]
"DisableRegistryTools"="0"

Rozprzestrzenianie - Internet

Prexot.a losuje adres IP potencjalnej ofiary i wysy艂a 偶膮danie na port TCP 445. Je偶eli zdalny komputer odpowie backdoor uruchomi na nim sw贸j kod poprzez luk臋 w us艂udze Plug and Play lub LSASS system贸w Windows.

Zdalne zarz膮dzanie

Prexot.a otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu cyberprzest臋pcy na przej臋cie kontroli nad zainfekowanym komputerem.

Informacje dodatkowe

Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 oxyd.fr
127.0.0.1 pandasoftware.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 t35.com
127.0.0.1 t35.net
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 virustotal.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.oxyd.fr
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.t35.com
127.0.0.1 www.t35.net
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.virustotal.com

Szkodnik zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
b055262c.dll
backdoor.rbot.gen.exe
backdoor.rbot.gen_(17).exe
CFIAUDIT.EXE
dailin.exe
DRWEBUPW.EXE
F-AGOBOT.EXE
GfxAcc.exe
HIJACKTHIS.EXE
IAOIN.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
Lien Van de Kelderrr.exe
LUALL.EXE
MCUPDATE.EXE
msnmsgr.exe
msssss.exe
NUPGRADE.EXE
NUPGRADE.EXE
rasmngr.exe
RAVMOND.exe
RB.EXE
Systra.exe
taskmanagr.exe
UPDATE.EXE
VisualGuard.exe
wfdmgr.exe
WIN32.EXE
WIN32US.EXE
WINACTIVE.EXE
WIN-BUGSFIX.EXE
WINDOW.EXE
WINDOWS.EXE
WININETD.EXE
WININIT.EXE
WININITX.EXE
WINLOGIN.EXE
WINMAIN.EXE
WINPPR32.EXE
WINRECON.EXE
winshost.exe
WINSSK32.EXE
WINSTART.EXE
WINSTART001.EXE
WINTSK32.EXE
WINUPDATE.EXE
WKUFIND.EXE
WNAD.EXE
WNT.EXE
wowpos32.exe
WRADMIN.EXE
WRCTRL.EXE
wuamga.exe
wuamgrd.exe
WUPDATER.EXE
WUPDT.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Backdoor pobiera plik upx.exe z nast臋puj膮cych stron:

http://***google.biz
http://4***scripts.com
http://***ogle.com

Oprogramowanie Kaspersky Anti-Virus wykrywa ten plik jako Backdoor.Win32.Surila.ak.