Backdoor.Win32.Dumador.ai

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 21КБ. Упакована FSG. Размер распакованного файла около 54КБ.

Backdoor.Win32.Dumador.ai («Лаборатория Касперского») также известен как: Backdoor.Dumador.ai («Лаборатория Касперского»), BackDoor-CCT (McAfee), Backdoor.Nibu.G (Symantec), BackDoor.Dumaru (Doctor Web), W32/Dumaru-AK (Sophos), Backdoor:Win32/Dumador.AI (RAV), TROJ_DUMARIN.H (Trend Micro), BDS/Dumador.AI.1 (H+BEDV), BackDoor-Nibu (ALWIL), BackDoor.Dumador.AH (Grisoft), Backdoor.Dumador.AI (SOFTWIN), Worm.Plexus.A (ClamAV), Bck/Dumador.H (Panda), Win32/Dumador.AI (Eset)

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 21КБ. Упакована FSG. Размер распакованного файла около 54КБ.

Инсталляция

После запуска бэкдор копирует себя в системный каталог Windows и каталог автозагрузки с именами svohost.exe и swchost.exe:


    * %System%\swchost.exe
    * %System%\svohost.exe
    * %User Profile%\Start Menu\Programs\Startup\svchost.exe 

Затем вирус регистрирует себя в ключе автозагрузки системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "load32"="%System%\swchost.exe"  

Также Dumador.ai создает следующие файлы в корневом каталоге Windows и папке Temp:


    * %Windir%\prntsvr.dll
    * %Windir%\prntc.log
    * %Windir%\prntk.log
    * %Windir%\rundlln.sys
    * %Windir%\Temp\fa4537ef.tmp
    * %Windir%\Temp\fe43e701.htm
    * %Windir%\Temp\feff35a0.htm 

Действие

Бэкдор открывает произвольный TCP-порт для предоставления злоумышленнику удаленного доступа к зараженной машине.

Бэкдор имеет следующие возможности:

* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;

* собирать информацию о системе (версия Windows и Internet Explorer, IP-адрес зараженной машины, названия открытых окон);

* отслеживать информацию, находящуюся в буфере обмена;

* воровать пароли и учетные данные пользователя.

Полученная информация может быть отправлена злоумышленнику через интернет на сайт http://www.whatpornsite.com/css/ или по электронной почте, так как бэкдор имеет встроенный SMTP-сервер.

Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.1:


127.0.0.1  avp.com
127.0.0.1  ca.com
127.0.0.1  customer.symantec.com
127.0.0.1  dispatch.mcafee.com
127.0.0.1  download.mcafee.com
127.0.0.1  f-secure.com
127.0.0.1  kaspersky.com
127.0.0.1  liveupdate.symantec.com
127.0.0.1  liveupdate.symantecliveupdate.com
127.0.0.1  mast.mcafee.com
127.0.0.1  mcafee.com
127.0.0.1  my-etrust.com
127.0.0.1  nai.com
127.0.0.1  networkassociates.com
127.0.0.1  rads.mcafee.com
127.0.0.1  secure.nai.com
127.0.0.1  securityresponse.symantec.com
127.0.0.1  sophos.com
127.0.0.1  symantec.com
127.0.0.1  trendmicro.com
127.0.0.1  update.symantec.com
127.0.0.1  updates.symantec.com
127.0.0.1  us.mcafee.com
127.0.0.1  viruslist.com
127.0.0.1  www.avp.com
127.0.0.1  www.ca.com
127.0.0.1  www.f-secure.com
127.0.0.1  www.kaspersky.com
127.0.0.1  www.mcafee.com
127.0.0.1  www.my-etrust.com
127.0.0.1  www.nai.com
127.0.0.1  www.networkassociates.com
127.0.0.1  www.sophos.com
127.0.0.1  www.symantec.com
127.0.0.1  www.trendmicro.com
127.0.0.1  www.viruslist.com