Backdoor.Win32.IRCBot.acd
Материал из Total Malware Info
Backdoor.Win32.IRCBot.acd Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 52 736 байт.
Инсталляция
При запуске извлекает из своего тела файлы:
%System%\sysprinters.dll %WinDir%\myalbum2007.zip
Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
system32={35B5EE8E-8D8D-42B5-920A-C870A68E9BA0}
Регистрирует OLE объект в системе, который загружает исполняемый файл бэкдора:
[HKCR\CLSID\{35B5EE8E-8D8D-42B5-920A-C870A68E9BA0}]
Деструктивная активность
При загрузке бэкдор пытается установить соединение с управляющим IRC сервером:
www.free4people.net
при успешном соединении входит в канал с названием “#.mafia” с ником “new[%rnd1%][%rnd2%]”, где %rnd1% и %rnd2% - случайные числа. После этого бэкдор входит в режим ожидания команд. Посылая команды бэкдору злоумышленник может выполнять следующие действия: Организовывать DDOS атаки на указанный адрес Скачивать файл по указанной ссылке и запускать его Рассылать почту со своим исполняемым файлом во вложении. Поиск адресов для рассылки производится в адресных книгах Windows. Рассылаемые письма имеют одну из следующих строк в поле “Тема” в зависимости от выбранных региональных настроек: для Франции:
hey regarde les tof de notre bande de fous. :p hey c'est toi dans ces tof!!??? hey regarde les tof, c',27h,'est moi et mes copains entrain de.... :D j'ai fais pour toi cet album de photos tu dois le voir e :p stp regarde cet album de photos je lai fais specialement pour toi et mes amis... mes photos chaudes :D t'as pas encore vu ces tof??? hey kijk eens naar mijn nieuwe foto album
для Германии:
meine hei?en Fotos ! :p
для Италии:
le mie foto calde :p
для Бельгии:
hey bekijk eens mijn nieuwe foto album hmm ben jij dit op de foto ? hey kijk ! dit is een lijst van mijn nieuwste fotos !! ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p kijk dit zijn fotos van mij werkplek! :) hmm ben jij dit op de foto ?
для остальных:
Here are my very secret pictures for you. Here are my pictures from my vacation hmm is this you on the photo ? Check out my pics from my workplace. Nice new photos of me and my friends and stuff... ahh look this is my greatest picture made on vacation 2007 take a look Check out my nice photo album. :D
Тело письма пустое, имя файла вложения: myalbum2007.zip.
Создает в своей рабочей папке файл new.txt в который записывает свои настройки.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить ключ реестра:
- Перезагрузить компьютер
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
system32={35B5EE8E-8D8D-42B5-920A-C870A68E9BA0}
[HKCR\CLSID\{35B5EE8E-8D8D-42B5-920A-C870A68E9BA0}]
%System%\sysprinters.dll %WinDir%\myalbum2007.zip %System%\new.txt
