Backdoor.Win32.Delf.aws
Материал из Total Malware Info
Backdoor.Win32.Delf.aws Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 280626 байт. Упакован при помощи NsPack, распакованный размер 1300 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\lsass.exe %WinDir%\setuprs1.PIF
Для автоматического запуска при следующем старте системы бэкдор создает службу с именем “Kerberos Key Distribution Centers”, которая запускает исполняемый файл бэкдора при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\kkdc]
Деструктивная активность
Копирует свой исполняемый файл в корень каждого съемного раздела с именем:
<X>:\runauto...\autorun.pif, где X – буква раздела
Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Завершает следующие процессы:
autoruns.exe procexp.exe WoptiProcess.exe KavPFW.EXE KPFW32.EXE RfwMain.EXE PFW.exe ewido.exe SysSafe.exe FireWall.exe kpf4gui.exe McAfeeFire.exe FireTray.exe jpf.exe ssgui.exe outpost.exe 360tray.exe FYFireWall.exe runiep.exe Ras.exe cpf.exe KAVPF.exe kav.exe avp.exe avpcc.exe mmc.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp TrojDie.kxp
Изменяет следующие значения ключей реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe] Debugger="setuprs1.PIF" [HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe] Debugger="setuprs1.PIF"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\cmd.exe] Debugger="setuprs1.PIF" [HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedt32.exe] Debugger="setuprs1.PIF"
Бэкдор открывает 83-й TCP порт на зараженном компьютере и переходит в режим ожидания команд от злоумышленника. Подключившись к открытому бэкдором порту злоумышленник может удаленно выполнять следующие действия на компьютере пользователя: Активировать встроенный кейлоггер и следить за клавиатурным вводом пользователя в реальном времени. Просматривать содержимое рабочего стола пользователя Передвигать курсор мыши Менять назначения кнопок мыши местами Завершать работу системы Выполнять любые команды командного интерпретатора Скачивать файл из интернет по указанной ссылке в указанную папку Просматривать список активных процессов и завершать процессы.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключе системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe] Debugger="setuprs1.PIF" [HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe] Debugger="setuprs1.PIF"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\cmd.exe] Debugger="setuprs1.PIF" [HKLM\Software\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedt32.exe] Debugger="setuprs1.PIF"
- Удалить ключ системного реестра:
- Удалить файлы:
[HKLM\SYSTEM\CurrentControlSet\Services\kkdc]
%WinDir%\lsass.exe %WinDir%\setuprs1.PIF <X>:\runauto...\autorun.pif, где X – буква раздела <X>:\autorun.inf
