Backdoor.Win32.BlueFire.035
Материал из Total Malware Info
Backdoor.Win32.BlueFire.035 Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 248 657 байт. Упакована при помощи UPX. Распакованный размер около 641 КБ. Язык написания С++.
Инсталляция
Копирует свое тело в системный каталог Windows под именами:
%System%\sysexpl.exe %System%\tasksvc.exe
Извлекает из своего тела библиотеку "bfhook.dll" и помещает ее в системный каталог Winsows^
%System%\bfhook.dll (18 432 байта, детектируется Антивирусом Касперского как Backdoor.Win32.BlueFire)
Создает в системном реестре ключ:
[HKLM\Software\Microsoft\DataControlBF] "DataBlueF"="0"
Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLME\Software\Microsoft\Windows\CurrentVersion\Run] "Network Services"="C:\\WINDOWS\\System32\\tasksvc.exe"
Деструктивная активность
Программа создает в системном реестре ключ:
[HKCR\txtfile\shell\open\command] "(Default)"="C:\WINDOWS\System32\sysexpl.exe "%1" "
Тем самым меняя программу, используемую по умолчанию для открытия текстовых файлов на себя. Таким образом, пользователь запустит вредоносную программу при попытке открыть любой текстовый документ. Кроме того, вредоносная программа открывает порт 19191, что позволяет злоумышленнику получить контроль над зараженным компьютером.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить копии бэкдора:
- Удалить вредоносный библиотечный файл:
%System%\sysexpl.exe %System%\tasksvc.exe
%System%\bfhook.dll
