Backdoor.win32.SdBot.aad

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.win32.SdBot.aad

Многофункциональный бэкдор, управляемый через IRC. Программа является приложением Windows (PE-EXE файл). Имеет размер 504 784 байт. Упакован с помощью Themida, распакованный размер ~ 1.5 мбайт.

Инсталляция

При запуске бэкдор копирует свой исполняемый файл как : 

%WinDir%\nzbd.exe

Для автоматического запуска при каждой следующей загрузке ОС, бэкдор создает параметр в ключе реестра : 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
<случайная последовательность цифр и букв>=<путь и имя файла бэкдора>

А так же изменяет значение следующего параметра в ключе реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell=”Explorer.exe %WINDIR%\nzbd.exe”

Создает в системе службу с именем “Windows NZDB Service”, которая запускает исполняемый файл бэкдора %WinDir%\nzbd.exe

Деструктивная активность

Злоумышленник управляет бэкдором посылая ему управляющие команды по IRC. Бэкдор позволяет выполнять следующие действия на компьютере пользователя :

- Получать доступ к файлам на жестком диске через запускаемый на компьютере пользователя FTP сервер. - Проводить атаки использующие уязвимость DCOM RPC на другие компьютера в сети. - Скачивать на компьютер пользователя файлы и запускать их. - Изменять стартовую страницу в Internet Explorer - Производить HTTP DDOS атаки на указанный адрес - Похищать пароли на учетные записи Microsoft Outlook - Отключать встроенные в Windows средства защиты : антивирус и брандмауэр - Сканировать порты на машине с указанным адресом - Очищать DNS кеш - Получить информацию о компьютере пользователя: частоту ЦП, версию ОС, количество оперативной памяти, путь к системной папке, имя компьютера, имя текущей учетной записи, количество свободного места на жестком диске, пропускную способность сети, внейшний и внутренний IP адреса, страну в которой находится пользователь.

Изменяет значение следующих ключей реестра: 

[HKLM\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableTaskMgr=1 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools=1 

[HKLM\SOFTWARE\Microsoft\Security Center]

AntiVirusDisableNotify=1 FirewallOverride=1 FirewallDisableNotify=1 AntiVirusOverride=1 UpdatesDisableNotify=1 

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

EnableFirewall=0 

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

EnableFirewall=0 

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

Start=4 

[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]

Start=4 

[HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry]

Start=4 

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]

Start=4

Скачивает файл по следующей ссылке: 

http://209.*****9.23/~tokocom/dual.exe

и сохраняет его как: 

c:\5h7h8v6b1c5.exe

после чего запускает. Скачанный файл не определяется как вредоносный объект, имеет размер 52 224 байта.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
<случайная последовательность цифр и букв>=<путь и имя файла бэкдора>
[HKLM\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableTaskMgr=1 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools=1 

[HKLM\SOFTWARE\Microsoft\Security Center]

AntiVirusDisableNotify=1 FirewallOverride=1 FirewallDisableNotify=1 AntiVirusOverride=1 UpdatesDisableNotify=1 

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

EnableFirewall=0 

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

EnableFirewall=0

  1. Изменить значение параметра в ключе реестра на следующее(как работать с реестром?):
    2. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell=”Explorer.exe”

  1. Удалить файлы:
    2. %WinDir%\nzbd.exe
c:\5h7h8v6b1c5.exe
  2. Удалить службу с именем “Windows NZDB Service”
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.win32.SdBot.aad»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.