Backdoor.Win32.IRCbot.abc

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.IRCbot.abc Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 32 704 байт. Упакована неизвестным упаковщиком, распакованный размер ~139 кбайт.

Инсталляция

Запускает экземпляр системного процесса svchost.exe и внедряет в его память свой код, который выполняет следующие действия: Копирует исполняемый файл бэкдора в системную папку Windows. Имя файла под которым бэкдор будет скопирован формируется следующим образом: из системной папки берется произвольный файл, в конец его имени добавляется произвольным образом выбранная маленькая буква латинского алфавита и расширение “.exe” Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“Wupdate”=<путь и имя исполняемого файла бэкдора>

Деструктивная активность

Изменяет значения ключа реестра на следующее: 

[HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
DisableRawSecurity=1

Похищает пароли и информацию учетных записи Microsoft Outlook из параметров ключа реестра: [HKLM\Software\Microsoft\Internet Account Manager\Accounts] SMTP Email Address SMTP Server SMTP Port POP3 User Name POP3 Server POP3 Port IMAP Port IMAP Server IMAP User Name HTTPMail User Name HTTPMail Server

Похищает пароли и информацию учетных записей Opera Mail. Из файла конфигурации: <Папка с установленной Opera>\Mail\accounts.ini похищаются значения следующих параметров: Email Incoming Username Incoming Servername Incoming Password

Похищает содержимое файла: <Папка с установленной Opera>\profile\wand.dat

Получает список посещаемых пользователем сайтов в интернете. Собранную информацию сохраняет в файл-отчет, который находится во временной папке Windows и имеет случайное имя. Отчет периодически отсылается на электронную почту злоумышленникам.

Завершает службу “sharedaccess”

Подключается к IRC серверу с адресом 192.168.1.2 к 6667-му TCP порту. Входит в канал “#AllNiteCafe” под ником состоящим из случайной последовательности прописных букв и цифр и ожидает команд от злоумышленников.

Позволяет злоумышленнику производить следующие типы атак: DDOS атаку используя ICMP пакеты IP Spoofing

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе: реестра(как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“Wupdate”=<путь и имя исполняемого файла бэкдора>
  4. Восстановить исходное значение ключа реестра (как работать с реестром?):
    5. [HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
DisableRawSecurity
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.IRCbot.abc»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.