Backdoor.Win32.Landis.b
Podczas instalacji backdoor tworzy w folderze systemowym w艂asny folder posiadaj膮cy losow膮 nazw臋. Nast臋pnie umieszcza w tym folderze w艂asn膮 kopi臋 o nazwie csrss.exe. Oryginalny plik backdoora (w kt贸rym dotar艂 do atakowanego komputera) jest usuwany.
Szkodnik tworzy skr贸t do w艂asnej kopii w folderze Autorun:
%Nazwa profilu u偶ytkownika%Start MenuProgramsStartupcsrss.lnk
Backdoor tworzy dla swojej kopii wpis w rejestrze systemowym:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"csrss" = " "
i dodaje do rejestru nast臋puj膮ce warto艣ci:
"Load" = "%System%(losowa nazwa foldera)csrss.exe"
"Run" = "%System%(losowa nazwa foldera)csrss.exe"
W systemach Windows95/98/ME szkodnik modyfikuje plik win.ini dodaj膮c do niego nast臋puj膮ce wpisy:
run = %System%(losowa nazwa foldera)csrss.exe
i tworzy klucze rejestru systemowego:
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
"DisableRegistryTools" = "1"
"NoAdminPage" = "1"
Backdoor nawi膮zuje po艂膮czenie z szeregiem serwer贸w IRC i oczekuje na polecenia wydawane przez zdalnego cyber-przest臋pc臋. Atakuj膮cy mo偶e uzyska膰 pe艂n膮 kontrol臋 nad zainfekowanym komputerem, w艂膮cznie z atakowaniem innych maszyn, pobieraniem plik贸w z Internetu itd.
Dodatkowo backdoor pozwala na wykonywanie nast臋puj膮cych czynno艣ci:
- rozprzestrzenianie zainfekowanego pliku poprzez kana艂y komunikatora MSN Messenger na polecenie zdalnego cyber-przest臋pcy; wiadomo艣ci zach臋caj膮 u偶ytkownik贸w do pobrania pliku z adresu http://www.vbulettin.com/[usuni臋to], kt贸ry jest bardzo podobny do adresu witryny brytyjskiego magazynu Virus Bulletin zajmuj膮cego si臋 testowaniem oprogramowania antywirusowego;
- pobieranie i uruchamianie plik贸w;
- usuwanie plik贸w;
- zamykanie proces贸w;
- ponowne uruchamianie komputera;
- przeprowadzanie atak贸w DoS;
- wyszukiwanie szczeg贸艂owych informacji o u偶ytkowniku zainfekowanego systemu, w tym hase艂 i innych poufnych danych wprowadzanych z klawiatury;
- uruchamianie szeregu polece艅;
- pobieranie uaktualnie艅 szkodnika;
- i wiele innych.
Backdoor modyfikuje plik %System%driversetchosts dopisuj膮c do niego poni偶sze teksty. W rezultacie u偶ytkownik zainfekowanego komputera nie b臋dzie m贸g艂 odwiedza膰 nast臋puj膮cych witryn:
127.0.0.1 avp.com 127.0.0.1 www.avp.com 127.0.0.1 ca.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 fastclick.net 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 secure.nai.com 127.0.0.1 www.awaps.net 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www3.ca.com 127.0.0.1 www.grisoft.com 127.0.0.1 grisoft.com 127.0.0.1 housecall.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 pandasoftware.com 127.0.0.1 kaspersky.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.zonelabs.com 127.0.0.1 zonelabs.com 127.0.0.1 www.spywareinfo.com 127.0.0.1 spywareinfo.com 127.0.0.1 www.merijn.org 127.0.0.1 merijn.org
Backdoor zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:
msconfig.exe kav.exe kavsvc.exe mcvsshld.exe mcagent.exe mcvsrte.exe mcshield.exe mcvsftsn.exe mcdash.exe mcvsescn.exe mcinfo.exe mpfagent.exe mpftray.exe mpfservice.exe mskagent.exe mcmnhdlr.exe sndsrvc.exe usrprmpt.exe ccapp.exe ccevtmgr.exe spbbcsvc.exe ccsetmgr.exe symlcsvc.exe npfmntor.exe navapsvc.exe issvc.exe ccproxy.exe navapw32.exe navw32.exe smc.exe outpost.exe zlclient.exe vsmon.exe isafe.exe pandaavengine.exe msblast.exe penis32.exe teekids.exe bbeagle.exe d3dupdate.exe sysmonxp.exe i11r54n4.exe irun4.exe mscvb32.exe sysinfo.exe mwincfg32.exe wincfg32.exe winsys.exe zapro.exe winupd.exe enterprise.exe regedit.exe hijackthis.exe gcasdtserv.exe gcasserv.exe pcctlcom.exe tmntsrv.exe tmproxy.exe pccguide.exe tmpfw.exe pcclient.exe
Szkodnik usuwa nast臋puj膮ce wpisy z rejestru systemowego: