Backdoor.Win32.Prexot.a

Троянская программа со встроенной функцией удаленного управления компьютером.

Троянская программа со встроенной функцией удаленного управления компьютером. Содержит в себе функции сетевого червя.

Представляет собой Windows PE-EXE файл. Имеет размер 130023 байт. Упакован CryptExe.

Инсталляция

После запуска бэкдор копирует себя в корневой каталог Windows со следующими именами:

%Windir%\msdef.exe
%Windir%\services.exe

Регистрирует себя в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "RPCser32g"="%Windir%\services.exe"

При каждой следующей загрузке Windows автоматически запустит файл бэкдора.

Также бэкдор изменяет следующий ключ системного реестра с целью блокировки сервиса Shared Access:

[HKLM\System\CurrentControlSet\Services\SharedAccess]
 "Start"="4"

Также изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Internet Explorer]
 "IEPgfsgdc"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies]
 "DisableRegistryTools"="0"

Распространение через интернет

Prexot.a запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то бэкдор, используя уязвимость Plug and Play или LSASS, запускает на удаленной машине свой код.

Удаленное администрирование

Prexot.a открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Прочее

Prexot.a изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:


127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 oxyd.fr
127.0.0.1 pandasoftware.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 t35.com
127.0.0.1 t35.net
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 virustotal.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.oxyd.fr
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.t35.com
127.0.0.1 www.t35.net
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.virustotal.com

Также выгружает из памяти процессы, имена которых попадают в следующий список:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ATUPDATER.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
b055262c.dll
backdoor.rbot.gen.exe
backdoor.rbot.gen_(17).exe
CFIAUDIT.EXE
dailin.exe
DRWEBUPW.EXE
F-AGOBOT.EXE
GfxAcc.exe
HIJACKTHIS.EXE
IAOIN.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
Lien Van de Kelderrr.exe
LUALL.EXE
MCUPDATE.EXE
msnmsgr.exe
msssss.exe
NUPGRADE.EXE
NUPGRADE.EXE
rasmngr.exe
RAVMOND.exe
RB.EXE
Systra.exe
taskmanagr.exe
UPDATE.EXE
VisualGuard.exe
wfdmgr.exe
WIN32.EXE
WIN32US.EXE
WINACTIVE.EXE
WIN-BUGSFIX.EXE
WINDOW.EXE
WINDOWS.EXE
WININETD.EXE
WININIT.EXE
WININITX.EXE
WINLOGIN.EXE
WINMAIN.EXE
WINPPR32.EXE
WINRECON.EXE
winshost.exe
WINSSK32.EXE
WINSTART.EXE
WINSTART001.EXE
WINTSK32.EXE
WINUPDATE.EXE
WKUFIND.EXE
WNAD.EXE
WNT.EXE
wowpos32.exe
WRADMIN.EXE
WRCTRL.EXE
wuamga.exe
wuamgrd.exe
WUPDATER.EXE
WUPDT.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Скачивает со следующих адресов файл с именем upx.exe (Антивирус Касперского детектирует данный файл как Backdoor.Win32.Surila.ak):

http://***google.biz
http://4***scripts.com
http://***ogle.com

После чего сохраняет этот файл на зараженном компьютере и запускает на исполнение.