Backdoor.Win32.Landis.b

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

Backdoor.Win32.Landis.b («Лаборатория Касперского») также известен как: W32/Generic.worm!p2p (McAfee), W32.Chod.D (Symantec), BackDoor.Generic.1066 (Doctor Web), Worm.Mytob.GH (ClamAV), Trj/Multidropper.ARF (Panda)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл. Имеет размер около 113 КБ.

Инсталляция

При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.

Например:


%System%\drtusi\csrss.exe

Также в данной папке бекдор создает следующие файлы:


%System%\drtusi\csrss.dat
%System%\drtusi\csrss.ini

После чего оригинальный запускаемый файл удаляется.

Бекдор создает ссылку на себя в каталоге автозагрузки:

%UserProfile%\Start Menu\Programs\Startup\csrss.lnk

Затем регистрирует себя в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\
CurrentVersion\Run]
 "csrss"=" "

Добавляет следующие записи в системный реестр:


[HKCU\Software\Microsoft\Windows NT\
CurrentVersion\Windows]
 "Load"="%System%\<случайное имя папки>\
csrss.exe"
 "Run"="%System%\<случайное имя папки>\
csrss.exe"

В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки:


load = %System%\<случайное имя папки>\
csrss.exe
run = %System%\<случайное имя папки>\
csrss.exe

Также бэкдор добавляет следующие записи в системный реестр:


[HKCU\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
 "Hidden"="2"
 "SuperHidden"="0"
 "ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
 "DisableRegistryTools"="1"
 "NoAdminPage"="1"

Действия

Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

* распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;

* загрузка и запуск на зараженном компьютере различных файлов;

* удаление файлов;

* остановка различных активных процесов;

* перезагрузка компьютера;

* проведение DoS-атак;

* отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;

* выполнение на зараженном компьютере различных команд;

* закрузка своих обновлений;

* прочеее.

Прочее

Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:


127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 grisoft.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 merijn.org
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 pandasoftware.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spywareinfo.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.awaps.net
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.merijn.org
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.sophos.com
127.0.0.1 www.spywareinfo.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.zonelabs.com
127.0.0.1 www3.ca.com
127.0.0.1 zonelabs.com

Landis.b выгружает из системы процессы, содержащие в именах следующие строки:


bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe

Также бекдор удаляет из системного реестра следующие записи:

[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\CleanUp]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\gcasServ]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\MCAgentExe]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\MCUpdateExe]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Outpost Firewall]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\SmcService]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Symantec NetDriver Monitor]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\VirusScan Online]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\VSOCheckTask]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Zone Labs Client]
[HKLM\Softwsre\Microsoft\Windows\
CurrentVersion\Run\KAVPersonal50]