Backdoor.Win32.Breplibot.b

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Представляет собой Windows PE EXE-файл размером 10240 байт. Файл упакован UPX. Размер распакованного файла — около 31 КБ.

Первоначально данный бэкдор был разослан при помощи спам-рассылки.

Инсталляция

После запуска бэкдор копирует себя в системный каталог Windows с именем $sys$drv.exe:

%System%\$sys$drv.exe

Это имя позволяет вредоносной программе быть скрытой посредством ставшего широкоизвестным руткита от Sony. Сокрытие программы произойдет, только если на компьютере функционирует DRM-защита, поставляющаяся на некоторых Audio CD Sony.

После запуска бэкдор создает следующий ключ в реестре:

 

[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
 "$sys$drv"="$sys$drv.exe"

Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:


$sys$drv.exe
SonyEnabled

После чего оригинальный запускаемый файл удаляется.

Действие

Программа соединяется со следующими IRC-серверами и получает команды удаленного управления от «хозяина»:


152.7.24.186
24.210.44.45
35.10.203.93
67.171.67.190
68.101.14.76

Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Также бэкдор имеет функцию обмана стандартного Windows Firewall: он прописывает себя в списке разрешенных программ, после чего его действия не могут быть заблокированы.