Backdoor.Win32.Surila.k

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Инсталляция

При запуске копирует себя в системный каталог Windows под именем "dx32cxlp.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "devsec"="%System%\dx32cxlp.exe"

Создаёт ключ реестра с произвольным значением:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\mutexname]

"Троянец" копирует себя в папку StartUp и создаёт файл "dx32cxconf.ini" в системном каталоге Windows.

Устанавливает себя как сервис "dx32cxel". Путь к файлу: "%System%\dx32cxel.sys".

Действие

Запускает proxy-сервер для HTTP- и SMTP-трафика на произвольном порту.

Пытается соединиться со следующими IRC-серверами для получения команд:

193.19.227.24:4661
205.209.176.220:4661
207.44.142.33:4242
207.44.206.27:4661
207.44.222.47:4661
211.214.161.107:4661
211.233.41.235:4661
212.199.125.36:8080
213.158.119.104:4661
216.127.94.107:4661
218.78.211.62:4661
4.246.18.98:4661
62.241.53.15:4242
62.241.53.16:4242
62.241.53.17:4242
62.241.53.2:4242
62.241.53.4:4242
64.246.16.11:4661
64.246.54.12:3306
65.75.161.70:4661
66.111.43.80:4242
66.90.68.2:6565
66.98.144.100:4242
66.98.192.99:3306
67.15.18.45:3306
67.15.18.57:3306
69.50.187.210:4661
69.50.228.50:4646
69.57.132.8:4661
80.64.179.46:4242
81.23.250.167:4242
81.23.250.169:4242

Прочее

Пытается сделать невозможным скачивание обновлений антивирусных баз и запретить доступ к сайтам компаний-производителей антивирусных продуктов путем добавления в файл hosts следующих строк:

127.0.0.1   avp.com
127.0.0.1   ca.com
127.0.0.1   customer.symantec.com
127.0.0.1   dispatch.mcafee.com
127.0.0.1   download.mcafee.com
127.0.0.1   downloads1.kaspersky-labs.com
127.0.0.1   downloads2.kaspersky-labs.com
127.0.0.1   downloads3.kaspersky-labs.com
127.0.0.1   downloads4.kaspersky-labs.com
127.0.0.1   downloads-eu1.kaspersky-labs.com
127.0.0.1   downloads-us1.kaspersky-labs.com
127.0.0.1   f-secure.com
127.0.0.1   kaspersky.com
127.0.0.1   kaspersky-labs.com
127.0.0.1   liveupdate.symantec.com
127.0.0.1   liveupdate.symantecliveupdate.com
127.0.0.1   mast.mcafee.com
127.0.0.1   mcafee.com
127.0.0.1   my-etrust.com
127.0.0.1   nai.com
127.0.0.1   networkassociates.com
127.0.0.1   rads.mcafee.com
127.0.0.1   secure.nai.com
127.0.0.1   securityresponse.symantec.com
127.0.0.1   sophos.com
127.0.0.1   symantec.com
127.0.0.1   trendmicro.com
127.0.0.1   update.symantec.com
127.0.0.1   updates.symantec.com
127.0.0.1   us.mcafee.com
127.0.0.1   viruslist.com
127.0.0.1   viruslist.com
127.0.0.1   www.avp.com
127.0.0.1   www.ca.com
127.0.0.1   www.f-secure.com
127.0.0.1   www.kaspersky.com
127.0.0.1   www.mcafee.com
127.0.0.1   www.my-etrust.com
127.0.0.1   www.nai.com
127.0.0.1   www.networkassociates.com
127.0.0.1   www.sophos.com
127.0.0.1   www.symantec.com
127.0.0.1   www.trendmicro.com
127.0.0.1   www.viruslist.com

С целью получения скрытого доступа в сеть изменяет настройки встроенного в Windows XP межсетевого экрана, становясь таким образом "легальной программой".

Viruslist.ru