Backdoor.Abebot

Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.

При запуске Backdoor.Abebot выполняет следующие действия:

1.Копирует себя в %System%\[random file name].exe

2. Добавляет значение

 
  
  "[random service name]" = "[random file name].exe -services" 

в подключ реестра:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
  Windows\CurrentVersion\Run 

3. Добавляет значение :

  "[random service name]" = "[random file name].exe 
  -services -drivers" 

в подключ реестра:

  HKEY_USERS\S-1-5-21-679724519-2691042562-2408214785-1006\SOFTWARE\
  
  Microsoft\Windows\CurrentVersion\Run 

4. Создает следующий подключ реестра как маркер инфицирования:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Connect 

5. Открывает "черный ход" в систему на случайном TCP порте и ожидает команд от удаленного атакующего.

"Черный ход" позволяет атакующему выполнять следующие действия на скомпрометированном компьютере:

 
  # Run commands
  # Retrieve system information and files via FTP, HTTP, 
  or IRC, using DCC send commands
  # Restart or shutdown the computer
  # List or kill processes
  # Perform denial of service attacks
  # Retrieve a given URL
  # Port Scan
  # Send email
  # Start a SOCKS4 proxy server on a random TCP port
  # Log keystrokes  

6. Понижает настройки безопасности путем завершения процессов влияющих на безопасность системы:

  
      * AdDestroyer.exe
      * Alles-ist-vorbei.exe
      * Avengine.exe
      * Blaargh.exe
      * CCPXYSVC.EXE
      * CCSETMGR.EXE
      * CClaw.exe
      * CMESys.exe
      * Cheese-Burger.exe
      * DateManager.exe
      * Desktop-shooting.exe
      * EtherD.exe
      * FRW.EXE
      * GAMECHANNEL.EXE
      * GMT.exe
      * HijackThis.exe
      * IAMAPP.EXE
      * IAMSERV.EXE
      * KeenValue.exe
      * LOCKDOWN2000.EXE
      * Lookout.exe
      * MCAGENT.EXE
      * MWSOEMON.EXE
      * McShield.exe
      * Mpftray.exe
      * NAVAPSVC.EXE
      * NAVW32.exe
      * NISUM.EXE
      * NJEEVES.EXE
      * NMain.exe
      * NPROTECT.EXE
      * NPSSVC.EXE
      * NVCSCHED.EXE
      * Nip.exe
      * Nymse.exe
      * PAVFIRES.exe
      * Pavproxy.exe
      * PrecisionTime.exe
      * SAVSCAN.EXE
      * SNDSrvc.exe
      * SVCH0ST.EXE
      * SVCHOSL.PIF
      * SYS_ALERT.EXE
      * SearchUpgrader.exe
      * Smc.exe
      * SymWSC.exe
      * TBPSSvc.exe
      * TaskMan.exe
      * TeaTimer.exe
      * Tmntsrv.exe
      * VetMsg.exe
      * ViewMgr.exe
      * VirtualBouncer.exe
      * WUAUMQR.exe
      * Weather.exe
      * WeatherOnTray.exe
      * WebRebates0.exe
      * WebRebates1.exe
      * WebSavingsFromEbates0.exe
      * WebSavingsFromEbates1.exe
      * Zanda.exe
      * Zlh.exe
      * actalert.exe
      * apvxdwin.exe
      * avgcc32.exe
      * avgserv.exe
      * avpcc.exe
      * bargains.exe
      * bigfix.exe
      * blackd.exe
      * blackice.exe
      * cashback.exe
      * ccApp.exe
      * ccEvtMgr.exe
      * dllhost32.exe
      * dmserver.exe
      * drweb32w.exe
      * drwebscd.exe
      * dust.exe
      * ethereal.exe
      * evntsvc.exe
      * filemon.exe
      * firedaemon.exe
      * guw32.exe
      * hbsrv.exe
      * imss.exe
      * intrenat.exe
      * istsvc.exe
      * lockdown.exe
      * lockdown2000.exe
      * lordpe.exe
      * mcupdate.exe
      * mcvsrte.exe
      * mcvsshld.exe
      * mghtml.exe
      * mgui.exe
      * minilog.exe
      * mmc.exe
      * mostat.exe
      * msblast.exe
      * mscnt.exe
      * msconfig.exe
      * msconfig32.exe
      * mspmspv.exe
      * netmon.exe
      * netstat.exe
      * nvcoas.exe
      * ollydbg.exe
      * optimize.exe
      * persfw.exe
      * portmon.exe
      * procdump.exe
      * processmonitor.exe
      * rcp32.exe
      * regedit.exe
      * regmon.exe
      * rmss.exe
      * scvhosts.exe
      * smc.exe
      * sniffem.exe
      * spidernt.exe
      * spoolsrv.exe
      * stinger.exe
      * svchosts.exe
      * svcnet.exe
      * svshosts.exe
      * symlcsvc.exe
      * syscfg32.exe
      * sysmon.exe
      * system32.exe
      * taskkill.exe
      * tasklist.exe
      * tcpview.exe
      * tskill.exe
      * updmgr.exe
      * videodrv.exe
      * vsmain.exe
      * winka.exe
      * winppr32.exe
      * winsrv32.exe
      * winupdat.exe
      * winupdt.exe
      * wml.exe
      * xcommsvr.exe
      * zapro.exe
      * zlclient.exe
      * zonealarm.exe

7. Изменяет файл hosts, чтобы заблокировать доступ к следующим Web сайтам:

     
            * avp.com
            * ca.com
            * f-secure.com
            * housecall.trendmicro.com
            * kaspersky.com
            * mcafee.com
            * my-etrust.com
            * nai.com
            * networkassociates.com
            * secure.nai.com
            * securityresponse.symantec.com
            * sophos.com
            * symantec.com
            * trendmicro.com
            * us.mcafee.com
            * v4.windowsupdate.microsoft.com
            * v5.windowsupdate.microsoft.com
            * v5windowsupdate.microsoft.nsatc.net
            * viruslist.com
            * windowsupdate.com
            * windowsupdate.microsoft.com
            * www.avp.com
            * www.bitdefender.com
            * www.ca.com
            * www.f-secure.com
            * www.kaspersky.com
            * www.mcafee.com
            * www.my-etrust.com
            * www.nai.com
            * www.networkassociates.com
            * www.pandasoftware.com
            * www.ravantivirus.com
            * www.sophos.com
            * www.symantec.com
            * www.trendmicro.com
            * www.viruslist.com
            * www.windowsupdate.com
            * www3.ca.com