Backdoor.Win32.Surila.k

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Инсталляция

При запуске копирует себя в системный каталог Windows под именем "dx32cxlp.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "devsec"="%System%\dx32cxlp.exe"

Создаёт ключ реестра с произвольным значением:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\mutexname]

"Троянец" копирует себя в папку StartUp и создаёт файл "dx32cxconf.ini" в системном каталоге Windows.

Устанавливает себя как сервис "dx32cxel". Путь к файлу: "%System%\dx32cxel.sys".

Действие

Запускает proxy-сервер для HTTP- и SMTP-трафика на произвольном порту.

Пытается соединиться со следующими IRC-серверами для получения команд:

193.19.227.24:4661
 205.209.176.220:4661
 207.44.142.33:4242
 207.44.206.27:4661
 207.44.222.47:4661
 211.214.161.107:4661
 211.233.41.235:4661
 212.199.125.36:8080
 213.158.119.104:4661
 216.127.94.107:4661
 218.78.211.62:4661
 4.246.18.98:4661
 62.241.53.15:4242
 62.241.53.16:4242
 62.241.53.17:4242
 62.241.53.2:4242
 62.241.53.4:4242
 64.246.16.11:4661
 64.246.54.12:3306
 65.75.161.70:4661
 66.111.43.80:4242
 66.90.68.2:6565
 66.98.144.100:4242
 66.98.192.99:3306
 67.15.18.45:3306
 67.15.18.57:3306
 69.50.187.210:4661
 69.50.228.50:4646
 69.57.132.8:4661
 80.64.179.46:4242
 81.23.250.167:4242
 81.23.250.169:4242

Прочее

Пытается сделать невозможным скачивание обновлений антивирусных баз и запретить доступ к сайтам компаний-производителей антивирусных продуктов путем добавления в файл hosts следующих строк:

127.0.0.1   avp.com
 127.0.0.1   ca.com
 127.0.0.1   customer.symantec.com
 127.0.0.1   dispatch.mcafee.com
 127.0.0.1   download.mcafee.com
 127.0.0.1   downloads1.kaspersky-labs.com
 127.0.0.1   downloads2.kaspersky-labs.com
 127.0.0.1   downloads3.kaspersky-labs.com
 127.0.0.1   downloads4.kaspersky-labs.com
 127.0.0.1   downloads-eu1.kaspersky-labs.com
 127.0.0.1   downloads-us1.kaspersky-labs.com
 127.0.0.1   f-secure.com
 127.0.0.1   kaspersky.com
 127.0.0.1   kaspersky-labs.com
 127.0.0.1   liveupdate.symantec.com
 127.0.0.1   liveupdate.symantecliveupdate.com
 127.0.0.1   mast.mcafee.com
 127.0.0.1   mcafee.com
 127.0.0.1   my-etrust.com
 127.0.0.1   nai.com
 127.0.0.1   networkassociates.com
 127.0.0.1   rads.mcafee.com
 127.0.0.1   secure.nai.com
 127.0.0.1   securityresponse.symantec.com
 127.0.0.1   sophos.com
 127.0.0.1   symantec.com
 127.0.0.1   trendmicro.com
 127.0.0.1   update.symantec.com
 127.0.0.1   updates.symantec.com
 127.0.0.1   us.mcafee.com
 127.0.0.1   viruslist.com
 127.0.0.1   viruslist.com
 127.0.0.1   www.avp.com
 127.0.0.1   www.ca.com
 127.0.0.1   www.f-secure.com
 127.0.0.1   www.kaspersky.com
 127.0.0.1   www.mcafee.com
 127.0.0.1   www.my-etrust.com
 127.0.0.1   www.nai.com
 127.0.0.1   www.networkassociates.com
 127.0.0.1   www.sophos.com
 127.0.0.1   www.symantec.com
 127.0.0.1   www.trendmicro.com
 127.0.0.1   www.viruslist.com

С целью получения скрытого доступа в сеть изменяет настройки встроенного в Windows XP межсетевого экрана, становясь таким образом "легальной программой".

Viruslist.ru
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.