Backdoor.Win32.Landis.b

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

Backdoor.Win32.Landis.b («Лаборатория Касперского») также известен как: W32/Generic.worm!p2p (McAfee), W32.Chod.D (Symantec), BackDoor.Generic.1066 (Doctor Web), Worm.Mytob.GH (ClamAV), Trj/Multidropper.ARF (Panda)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл. Имеет размер около 113 КБ.

Инсталляция

При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.

Например:

 
 %System%\drtusi\csrss.exe

Также в данной папке бекдор создает следующие файлы:

 
 %System%\drtusi\csrss.dat
 %System%\drtusi\csrss.ini

После чего оригинальный запускаемый файл удаляется.

Бекдор создает ссылку на себя в каталоге автозагрузки:

%UserProfile%\Start Menu\Programs\Startup\csrss.lnk

Затем регистрирует себя в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "csrss"=" "
 

Добавляет следующие записи в системный реестр:

 
 [HKCU\Software\Microsoft\Windows NT\
 CurrentVersion\Windows]
  "Load"="%System%\<случайное имя папки>\
 csrss.exe"
  "Run"="%System%\<случайное имя папки>\
 csrss.exe"

В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки:

 
 load = %System%\<случайное имя папки>\
 csrss.exe
 run = %System%\<случайное имя папки>\
 csrss.exe
 

Также бэкдор добавляет следующие записи в системный реестр:

 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Explorer\Advanced]
  "Hidden"="2"
  "SuperHidden"="0"
  "ShowSuperHidden"="0"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Policies\System]
  "DisableRegistryTools"="1"
  "NoAdminPage"="1"

Действия

Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

* распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;

* загрузка и запуск на зараженном компьютере различных файлов;

* удаление файлов;

* остановка различных активных процесов;

* перезагрузка компьютера;

* проведение DoS-атак;

* отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;

* выполнение на зараженном компьютере различных команд;

* закрузка своих обновлений;

* прочеее.

Прочее

Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.1 avp.com
 127.0.0.1 ca.com
 127.0.0.1 customer.symantec.com
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 fastclick.net
 127.0.0.1 f-secure.com
 127.0.0.1 ftp.f-secure.com
 127.0.0.1 ftp.sophos.com
 127.0.0.1 grisoft.com
 127.0.0.1 housecall.trendmicro.com
 127.0.0.1 kaspersky.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 merijn.org
 127.0.0.1 my-etrust.com
 127.0.0.1 nai.com
 127.0.0.1 networkassociates.com
 127.0.0.1 pandasoftware.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 secure.nai.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 service1.symantec.com
 127.0.0.1 sophos.com
 127.0.0.1 spywareinfo.com
 127.0.0.1 support.microsoft.com
 127.0.0.1 symantec.com
 127.0.0.1 trendmicro.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 vil.nai.com
 127.0.0.1 viruslist.com
 127.0.0.1 www.avp.com
 127.0.0.1 www.awaps.net
 127.0.0.1 www.fastclick.net
 127.0.0.1 www.f-secure.com
 127.0.0.1 www.grisoft.com
 127.0.0.1 www.kaspersky.com
 127.0.0.1 www.mcafee.com
 127.0.0.1 www.merijn.org
 127.0.0.1 www.microsoft.com
 127.0.0.1 www.my-etrust.com
 127.0.0.1 www.nai.com
 127.0.0.1 www.networkassociates.com
 127.0.0.1 www.pandasoftware.com
 127.0.0.1 www.sophos.com
 127.0.0.1 www.spywareinfo.com
 127.0.0.1 www.symantec.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.viruslist.com
 127.0.0.1 www.zonelabs.com
 127.0.0.1 www3.ca.com
 127.0.0.1 zonelabs.com

Landis.b выгружает из системы процессы, содержащие в именах следующие строки:

 
 bbeagle.exe
 ccapp.exe
 ccevtmgr.exe
 ccproxy.exe
 ccsetmgr.exe
 d3dupdate.exe
 enterprise.exe
 gcasdtserv.exe
 gcasserv.exe
 hijackthis.exe
 i11r54n4.exe
 irun4.exe
 isafe.exe
 issvc.exe
 kav.exe
 kavsvc.exe
 mcagent.exe
 mcdash.exe
 mcinfo.exe
 mcmnhdlr.exe
 mcshield.exe
 mcvsescn.exe
 mcvsftsn.exe
 mcvsrte.exe
 mcvsshld.exe
 mpfagent.exe
 mpfservice.exe
 mpftray.exe
 msblast.exe
 msconfig.exe
 mscvb32.exe
 mskagent.exe
 mwincfg32.exe
 navapsvc.exe
 navapw32.exe
 navw32.exe
 npfmntor.exe
 outpost.exe
 pandaavengine.exe
 pccguide.exe
 pcclient.exe
 pcctlcom.exe
 penis32.exe
 regedit.exe
 smc.exe
 sndsrvc.exe
 spbbcsvc.exe
 symlcsvc.exe
 sysinfo.exe
 sysmonxp.exe
 teekids.exe
 tmntsrv.exe
 tmpfw.exe
 tmproxy.exe
 usrprmpt.exe
 vsmon.exe
 wincfg32.exe
 winsys.exe
 winupd.exe
 zapro.exe
 zlclient.exe
 

Также бекдор удаляет из системного реестра следующие записи:

 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\CleanUp]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\gcasServ]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\MCAgentExe]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\MCUpdateExe]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Outpost Firewall]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\SmcService]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Symantec NetDriver Monitor]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\VirusScan Online]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\VSOCheckTask]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run\Zone Labs Client]
 [HKLM\Softwsre\Microsoft\Windows\
 CurrentVersion\Run\KAVPersonal50]