Backdoor.Win32.Landis.b

Jest to backdoor pozwalaj膮cy zdalnemu cyber-przest臋pcy na przej臋cie kontroli nad zainfekowanym komputerem. Szkodnik jest kontrolowany za po艣rednictwem kana艂贸w IRC. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 113 KB.

Instalacja

Podczas instalacji backdoor tworzy w folderze systemowym w艂asny folder posiadaj膮cy losow膮 nazw臋. Nast臋pnie umieszcza w tym folderze w艂asn膮 kopi臋 o nazwie csrss.exe. Oryginalny plik backdoora (w kt贸rym dotar艂 do atakowanego komputera) jest usuwany.

Szkodnik tworzy skr贸t do w艂asnej kopii w folderze Autorun:

%Nazwa profilu u偶ytkownika%Start MenuProgramsStartupcsrss.lnk

Backdoor tworzy dla swojej kopii wpis w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"csrss" = " "

i dodaje do rejestru nast臋puj膮ce warto艣ci:

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]
"Load" = "%System%(losowa nazwa foldera)csrss.exe"
"Run" = "%System%(losowa nazwa foldera)csrss.exe"

W systemach Windows95/98/ME szkodnik modyfikuje plik win.ini dodaj膮c do niego nast臋puj膮ce wpisy:

load = %System%(losowa nazwa foldera)csrss.exe
run = %System%(losowa nazwa foldera)csrss.exe

i tworzy klucze rejestru systemowego:

  • [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
    "Hidden" = "2"
    "SuperHidden" = "0"
    "ShowSuperHidden" = "0"
  • [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    "DisableRegistryTools" = "1"
    "NoAdminPage" = "1"

Funkcje dodatkowe

Backdoor nawi膮zuje po艂膮czenie z szeregiem serwer贸w IRC i oczekuje na polecenia wydawane przez zdalnego cyber-przest臋pc臋. Atakuj膮cy mo偶e uzyska膰 pe艂n膮 kontrol臋 nad zainfekowanym komputerem, w艂膮cznie z atakowaniem innych maszyn, pobieraniem plik贸w z Internetu itd.

Dodatkowo backdoor pozwala na wykonywanie nast臋puj膮cych czynno艣ci:

  • rozprzestrzenianie zainfekowanego pliku poprzez kana艂y komunikatora MSN Messenger na polecenie zdalnego cyber-przest臋pcy; wiadomo艣ci zach臋caj膮 u偶ytkownik贸w do pobrania pliku z adresu http://www.vbulettin.com/[usuni臋to], kt贸ry jest bardzo podobny do adresu witryny brytyjskiego magazynu Virus Bulletin zajmuj膮cego si臋 testowaniem oprogramowania antywirusowego;
  • pobieranie i uruchamianie plik贸w;
  • usuwanie plik贸w;
  • zamykanie proces贸w;
  • ponowne uruchamianie komputera;
  • przeprowadzanie atak贸w DoS;
  • wyszukiwanie szczeg贸艂owych informacji o u偶ytkowniku zainfekowanego systemu, w tym hase艂 i innych poufnych danych wprowadzanych z klawiatury;
  • uruchamianie szeregu polece艅;
  • pobieranie uaktualnie艅 szkodnika;
  • i wiele innych.

Backdoor modyfikuje plik %System%driversetchosts dopisuj膮c do niego poni偶sze teksty. W rezultacie u偶ytkownik zainfekowanego komputera nie b臋dzie m贸g艂 odwiedza膰 nast臋puj膮cych witryn:

127.0.0.1 avp.com
127.0.0.1 www.avp.com
127.0.0.1 ca.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 fastclick.net
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 www.awaps.net
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www3.ca.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 pandasoftware.com
127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.zonelabs.com
127.0.0.1 zonelabs.com
127.0.0.1 www.spywareinfo.com
127.0.0.1 spywareinfo.com
127.0.0.1 www.merijn.org
127.0.0.1 merijn.org

Backdoor zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:

msconfig.exe 
kav.exe 
kavsvc.exe 
mcvsshld.exe 
mcagent.exe 
mcvsrte.exe 
mcshield.exe 
mcvsftsn.exe 
mcdash.exe 
mcvsescn.exe 
mcinfo.exe 
mpfagent.exe 
mpftray.exe 
mpfservice.exe 
mskagent.exe 
mcmnhdlr.exe 
sndsrvc.exe 
usrprmpt.exe 
ccapp.exe 
ccevtmgr.exe 
spbbcsvc.exe 
ccsetmgr.exe 
symlcsvc.exe 
npfmntor.exe 
navapsvc.exe 
issvc.exe 
ccproxy.exe 
navapw32.exe 
navw32.exe 
smc.exe 
outpost.exe 
zlclient.exe 
vsmon.exe 
isafe.exe 
pandaavengine.exe 
msblast.exe 
penis32.exe 
teekids.exe 
bbeagle.exe 
d3dupdate.exe 
sysmonxp.exe 
i11r54n4.exe 
irun4.exe 
mscvb32.exe 
sysinfo.exe 
mwincfg32.exe 
wincfg32.exe 
winsys.exe 
zapro.exe 
winupd.exe 
enterprise.exe 
regedit.exe 
hijackthis.exe 
gcasdtserv.exe 
gcasserv.exe 
pcctlcom.exe 
tmntsrv.exe 
tmproxy.exe 
pccguide.exe 
tmpfw.exe 
pcclient.exe

Szkodnik usuwa nast臋puj膮ce wpisy z rejestru systemowego:

  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunCleanUp]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunMCAgentExe]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunMCUpdateExe]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunVirusScan Online]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunVSOCheckTask]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunSymantec NetDriver Monitor]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunSmcService]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunOutpost Firewall]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRungcasServ]
  • [HKLMSoftwsreMicrosoftWindowsCurrentVersionRunKAVPersonal50]
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunone Labs Client]
W32/Generic.worm!p2p (McAfee),   W32.Chod.D (Symantec),   BackDoor.Generic.1066 (Doctor Web),   Worm.Mytob.GH (ClamAV),   Trj/Multidropper.ARF (Panda)