Backdoor.Win32.Prexot.a
Po uruchomieniu backdoor kopiuje si臋 do foldera systemu Windows z nast臋puj膮cymi nazwami:
%Windows%msdef.exe %Windows%services.exe
i tworzy w rejestrze klucz zapewniaj膮cy mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
"RPCser32g"="%Windir%services.exe"
Szkodnik modyfikuje poni偶szy klucz rejestru w celu zablokowania us艂ugi Shared Access.
Dodatkowo backdoor modyfikuje poni偶sze klucze:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies]
"IEPgfsgdc"="1"
[HKLMSoftwareMicrosoftWindowsCurrentVersionpolicies]
"DisableRegistryTools"="0"
Prexot.a losuje adres IP potencjalnej ofiary i wysy艂a 偶膮danie na port TCP 445. Je偶eli zdalny komputer odpowie backdoor uruchomi na nim sw贸j kod poprzez luk臋 w us艂udze Plug and Play lub LSASS system贸w Windows.
Prexot.a otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu cyberprzest臋pcy na przej臋cie kontroli nad zainfekowanym komputerem.
Robak modyfikuje plik %System%driversetchosts, w wyniku czego u偶ytkownik zainfekowanego komputera nie mo偶e otwiera膰 nast臋puj膮cych stron internetowych:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 oxyd.fr 127.0.0.1 pandasoftware.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 t35.com 127.0.0.1 t35.net 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 virustotal.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.oxyd.fr 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.t35.com 127.0.0.1 www.t35.net 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.virustotal.com
Szkodnik zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE b055262c.dll backdoor.rbot.gen.exe backdoor.rbot.gen_(17).exe CFIAUDIT.EXE dailin.exe DRWEBUPW.EXE F-AGOBOT.EXE GfxAcc.exe HIJACKTHIS.EXE IAOIN.EXE ICSSUPPNT.EXE ICSUPP95.EXE Lien Van de Kelderrr.exe LUALL.EXE MCUPDATE.EXE msnmsgr.exe msssss.exe NUPGRADE.EXE NUPGRADE.EXE rasmngr.exe RAVMOND.exe RB.EXE Systra.exe taskmanagr.exe UPDATE.EXE VisualGuard.exe wfdmgr.exe WIN32.EXE WIN32US.EXE WINACTIVE.EXE WIN-BUGSFIX.EXE WINDOW.EXE WINDOWS.EXE WININETD.EXE WININIT.EXE WININITX.EXE WINLOGIN.EXE WINMAIN.EXE WINPPR32.EXE WINRECON.EXE winshost.exe WINSSK32.EXE WINSTART.EXE WINSTART001.EXE WINTSK32.EXE WINUPDATE.EXE WKUFIND.EXE WNAD.EXE WNT.EXE wowpos32.exe WRADMIN.EXE WRCTRL.EXE wuamga.exe wuamgrd.exe WUPDATER.EXE WUPDT.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZONALM2601.EXE ZONEALARM.EXE
Backdoor pobiera plik upx.exe z nast臋puj膮cych stron:
http://***google.biz http://4***scripts.com http://***ogle.com
Oprogramowanie Kaspersky Anti-Virus wykrywa ten plik jako