Backdoor.Win32.SdBot.bxr

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.SdBot.bxr Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 25 600 байт. Упакован при помощи UPX, распакованный размер ~76 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\system\lsass.exe

Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Lsass Services=%WinDir%\system\lsass.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
MSNPRC=%WinDir%\system\lsass.exe

Деструктивная активность

Изменяет значение следующего ключа реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
<имя_троянского_файла>="<имя_троянского_файла>:*:Enabled:<имя_троянского_файла_безрасширения>

и таким образом добавляет свой процесс в список доверенных приложений брандмауэра Windows. Изменяет значение ключа реестра на следующее: 

[HKLM\SYSTEM\CurrentControlSet\Control]
WaitToKillServiceTimeout=7000

При запуске бэкдор пытается установить соединение с управляющим сервером на 21888 TCP порт и входит в режим ожидания команд. Посылая команды бэкдору можно выполнять следующие действия на зараженном компьютере: - Скачивать файл по указанному URL и запускать его на выполнение. Скачанный файл сохраняется под следующим именем: 

%Temp%\eraseme_<rnd>.exe

где <rnd>, случайное число. - Запускать/завершать процессы - Распространять свои копии через MSN Messenger. Червь манипулирует диалогами программы MSN Mеssenger и рассылает всем пользователям в списке контактов сообщения содержащие исполняемый файл бэкдора с именем: 

img<rnd>-www.photostorage.com

где <rnd>, случайное число. Рассылаемые сообщения могут содержать следующий текст в зависимости от языковых настроек зараженной системы: Английский: 

Here are my private pictures for you
hey i'm going to add this picture of us to my weblog
My friend took nice photos of me.you Should see em loL!�lol remember when you used to have your hair like this
Nice new photos of me and my friends and stuff and when i was young lol...
wanna see the pics from my vacation? :>
Check out my nice photo album. :D

Французкий: 

he je vais mettre cette image de nous sur mon myspace :>
le lol se rappellent quand vous aviez l'habitude d avoir vos cheveux comme ceci
he veux tu voir mes image de vacance??
j'ai fais pour toi ce photo album tu dois le voire :p
haha vous devriez rendre ceci votre defaut pic sur le myspac e ou quelque chose :D
mes photos chaudes :D
defaut de la reproduction sonore ! regard a cette vieille im age que j',27h,'ai trouvee : |

Немецкий: 

he werde ich diese Abbildung von uns auf mein myspace setzen wil je fotos zien van mijn vakantie
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
he werde ich diese Abbildung von uns meinem weblog hinzufugen
Haha sollten Sie dieses Ihre Ruckstellung auf myspace oder etwas pic bilden:D
he ich zeige Ihnen diese Abbildung von mir uberhaupt?
Wimmern! Blick auf diese alte Abbildung, die ich: fand
mochten den pics von meinen Ferien sehen?

Итальянский: 

ehi mettero quest',27h,'immagine di noi sul mio myspace :>
jaja ricordo quando lei aveva i suoi capelli come questo
ehi aggiungero quest',27h,'immagine di noi al mio weblog
jaja lei dovrebbe fare quest',27h,'il suo pic predefinito sul myspace o qualcosa :Dmetta questi fotos in suo pagina myspace
Qui sono il fotos di ci
Carichero questa foto al mio myspace adesso
Io ricordo quando abbiamo portato questa foto
Per favore nessuno lasciare vede le nostre foto

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора(возможное имя: lsass.exe).
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Lsass Services=%WinDir%\system\lsass.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
MSNPRC=%WinDir%\system\lsass.exe
  4. Удалить файл:
    5. %WinDir%\system\lsass.exe
  5. Восстановить оригинальное значение ключа реестра(как работать с реестром?):
    6. [HKLM\SYSTEM\CurrentControlSet\Control]
WaitToKillServiceTimeout
  6. Очистить содержимое папки %Temp%
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.SdBot.bxr»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.