Backdoor.Nemog.C

Backdoor.Nemog.C – Троян-бекдор, использующий взломанную системе как email релей и http прокси. Троян также блокирует доступ к некоторым Web сайтам по безопасности.

Backdoor.Nemog.C – Троян-бекдор, использующий взломанную системе как email релей и http прокси. Троян также блокирует доступ к некоторым Web сайтам по безопасности.

При запуске Троян:

  1. Создает следующие файлы:
    %System%\dx32cxlp.exe
    %System%\dx32cxel.sys
    
  2. Создает следующие ключи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32cxel
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL
    
  3. Прячет службу и файлы перехватывая некоторые API и возвращая нулевой результат для некоторых API вызовов.
  4. Перенаправляет email от удаленного пользователя через случайно выбранный TCP порт, и запускает http прокси сервер на другом случайном tcp порту.
  5. Получает команды от удаленного атакующего через бекдор, чтобы выполнить следущие действия:
    • Удалить вирус
    • Обновить вирус
    • Загрузить файл
  6. Перезаписывает файл %System%\DRIVERS\ETC\HOSTS:
    127.0.0.1 www.avp.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 www.symantec.com
    127.0.0.1 networkassociates.com
    127.0.0.1 secure.nai.com
    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads3.kaspersky-labs.com
    127.0.0.1 downloads4.kaspersky-labs.com
    127.0.0.1 downloads-us1.kaspersky-labs.com
    127.0.0.1 downloads-eu1.kaspersky-labs.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 f-secure.com
    127.0.0.1 avp.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 update.symantec.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 viruslist.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 kaspersky.com
    127.0.0.1 www.trendmicro.com