Backdoor.Abebot

Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.

Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.

При запуске Backdoor.Abebot выполняет следующие действия:

1.Копирует себя в %System%\[random file name].exe

2. Добавляет значение

 
 
 "[random service name]" = "[random file name].exe -services" 

в подключ реестра:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
 Windows\CurrentVersion\Run 

3. Добавляет значение :

 "[random service name]" = "[random file name].exe 
 -services -drivers" 

в подключ реестра:

 HKEY_USERS\S-1-5-21-679724519-2691042562-2408214785-1006\SOFTWARE\
 
 Microsoft\Windows\CurrentVersion\Run 

4. Создает следующий подключ реестра как маркер инфицирования:

 HKEY_LOCAL_MACHINE\Software\Microsoft\Connect 

5. Открывает "черный ход" в систему на случайном TCP порте и ожидает команд от удаленного атакующего.

"Черный ход" позволяет атакующему выполнять следующие действия на скомпрометированном компьютере:

 
 # Run commands
 # Retrieve system information and files via FTP, HTTP, 
 or IRC, using DCC send commands
 # Restart or shutdown the computer
 # List or kill processes
 # Perform denial of service attacks
 # Retrieve a given URL
 # Port Scan
 # Send email
 # Start a SOCKS4 proxy server on a random TCP port
 # Log keystrokes  

6. Понижает настройки безопасности путем завершения процессов влияющих на безопасность системы:

 
     * AdDestroyer.exe
     * Alles-ist-vorbei.exe
     * Avengine.exe
     * Blaargh.exe
     * CCPXYSVC.EXE
     * CCSETMGR.EXE
     * CClaw.exe
     * CMESys.exe
     * Cheese-Burger.exe
     * DateManager.exe
     * Desktop-shooting.exe
     * EtherD.exe
     * FRW.EXE
     * GAMECHANNEL.EXE
     * GMT.exe
     * HijackThis.exe
     * IAMAPP.EXE
     * IAMSERV.EXE
     * KeenValue.exe
     * LOCKDOWN2000.EXE
     * Lookout.exe
     * MCAGENT.EXE
     * MWSOEMON.EXE
     * McShield.exe
     * Mpftray.exe
     * NAVAPSVC.EXE
     * NAVW32.exe
     * NISUM.EXE
     * NJEEVES.EXE
     * NMain.exe
     * NPROTECT.EXE
     * NPSSVC.EXE
     * NVCSCHED.EXE
     * Nip.exe
     * Nymse.exe
     * PAVFIRES.exe
     * Pavproxy.exe
     * PrecisionTime.exe
     * SAVSCAN.EXE
     * SNDSrvc.exe
     * SVCH0ST.EXE
     * SVCHOSL.PIF
     * SYS_ALERT.EXE
     * SearchUpgrader.exe
     * Smc.exe
     * SymWSC.exe
     * TBPSSvc.exe
     * TaskMan.exe
     * TeaTimer.exe
     * Tmntsrv.exe
     * VetMsg.exe
     * ViewMgr.exe
     * VirtualBouncer.exe
     * WUAUMQR.exe
     * Weather.exe
     * WeatherOnTray.exe
     * WebRebates0.exe
     * WebRebates1.exe
     * WebSavingsFromEbates0.exe
     * WebSavingsFromEbates1.exe
     * Zanda.exe
     * Zlh.exe
     * actalert.exe
     * apvxdwin.exe
     * avgcc32.exe
     * avgserv.exe
     * avpcc.exe
     * bargains.exe
     * bigfix.exe
     * blackd.exe
     * blackice.exe
     * cashback.exe
     * ccApp.exe
     * ccEvtMgr.exe
     * dllhost32.exe
     * dmserver.exe
     * drweb32w.exe
     * drwebscd.exe
     * dust.exe
     * ethereal.exe
     * evntsvc.exe
     * filemon.exe
     * firedaemon.exe
     * guw32.exe
     * hbsrv.exe
     * imss.exe
     * intrenat.exe
     * istsvc.exe
     * lockdown.exe
     * lockdown2000.exe
     * lordpe.exe
     * mcupdate.exe
     * mcvsrte.exe
     * mcvsshld.exe
     * mghtml.exe
     * mgui.exe
     * minilog.exe
     * mmc.exe
     * mostat.exe
     * msblast.exe
     * mscnt.exe
     * msconfig.exe
     * msconfig32.exe
     * mspmspv.exe
     * netmon.exe
     * netstat.exe
     * nvcoas.exe
     * ollydbg.exe
     * optimize.exe
     * persfw.exe
     * portmon.exe
     * procdump.exe
     * processmonitor.exe
     * rcp32.exe
     * regedit.exe
     * regmon.exe
     * rmss.exe
     * scvhosts.exe
     * smc.exe
     * sniffem.exe
     * spidernt.exe
     * spoolsrv.exe
     * stinger.exe
     * svchosts.exe
     * svcnet.exe
     * svshosts.exe
     * symlcsvc.exe
     * syscfg32.exe
     * sysmon.exe
     * system32.exe
     * taskkill.exe
     * tasklist.exe
     * tcpview.exe
     * tskill.exe
     * updmgr.exe
     * videodrv.exe
     * vsmain.exe
     * winka.exe
     * winppr32.exe
     * winsrv32.exe
     * winupdat.exe
     * winupdt.exe
     * wml.exe
     * xcommsvr.exe
     * zapro.exe
     * zlclient.exe
     * zonealarm.exe

7. Изменяет файл hosts, чтобы заблокировать доступ к следующим Web сайтам:

    
           * avp.com
           * ca.com
           * f-secure.com
           * housecall.trendmicro.com
           * kaspersky.com
           * mcafee.com
           * my-etrust.com
           * nai.com
           * networkassociates.com
           * secure.nai.com
           * securityresponse.symantec.com
           * sophos.com
           * symantec.com
           * trendmicro.com
           * us.mcafee.com
           * v4.windowsupdate.microsoft.com
           * v5.windowsupdate.microsoft.com
           * v5windowsupdate.microsoft.nsatc.net
           * viruslist.com
           * windowsupdate.com
           * windowsupdate.microsoft.com
           * www.avp.com
           * www.bitdefender.com
           * www.ca.com
           * www.f-secure.com
           * www.kaspersky.com
           * www.mcafee.com
           * www.my-etrust.com
           * www.nai.com
           * www.networkassociates.com
           * www.pandasoftware.com
           * www.ravantivirus.com
           * www.sophos.com
           * www.symantec.com
           * www.trendmicro.com
           * www.viruslist.com
           * www.windowsupdate.com
           * www3.ca.com