Backdoor.Win32.Prexot.a

Троянская программа со встроенной функцией удаленного управления компьютером.

Троянская программа со встроенной функцией удаленного управления компьютером. Содержит в себе функции сетевого червя.

Представляет собой Windows PE-EXE файл. Имеет размер 130023 байт. Упакован CryptExe.

Инсталляция

После запуска бэкдор копирует себя в корневой каталог Windows со следующими именами:

 %Windir%\msdef.exe
 %Windir%\services.exe
 

Регистрирует себя в ключе автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "RPCser32g"="%Windir%\services.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл бэкдора.

Также бэкдор изменяет следующий ключ системного реестра с целью блокировки сервиса Shared Access:

 [HKLM\System\CurrentControlSet\Services\SharedAccess]
  "Start"="4"
 

Также изменяет следующие ключи реестра:

 [HKCU\Software\Microsoft\Internet Explorer]
  "IEPgfsgdc"="1"
 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\policies]
  "DisableRegistryTools"="0"
 

Распространение через интернет

Prexot.a запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то бэкдор, используя уязвимость Plug and Play или LSASS, запускает на удаленной машине свой код.

Удаленное администрирование

Prexot.a открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Прочее

Prexot.a изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

 
 127.0.0.1 avp.com
 127.0.0.1 ca.com
 127.0.0.1 customer.symantec.com
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 downloads-eu1.kaspersky-labs.com
 127.0.0.1 downloads-us1.kaspersky-labs.com
 127.0.0.1 downloads1.kaspersky-labs.com
 127.0.0.1 downloads2.kaspersky-labs.com
 127.0.0.1 downloads3.kaspersky-labs.com
 127.0.0.1 downloads4.kaspersky-labs.com
 127.0.0.1 f-secure.com
 127.0.0.1 kaspersky-labs.com
 127.0.0.1 kaspersky.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 liveupdate.symantecliveupdate.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 microsoft.com
 127.0.0.1 my-etrust.com
 127.0.0.1 nai.com
 127.0.0.1 networkassociates.com
 127.0.0.1 oxyd.fr
 127.0.0.1 pandasoftware.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 secure.nai.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 sophos.com
 127.0.0.1 symantec.com
 127.0.0.1 t35.com
 127.0.0.1 t35.net
 127.0.0.1 trendmicro.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 viruslist.com
 127.0.0.1 virustotal.com
 127.0.0.1 www.avp.com
 127.0.0.1 www.ca.com
 127.0.0.1 www.f-secure.com
 127.0.0.1 www.grisoft.com
 127.0.0.1 www.kaspersky.com
 127.0.0.1 www.mcafee.com
 127.0.0.1 www.microsoft.com
 127.0.0.1 www.my-etrust.com
 127.0.0.1 www.nai.com
 127.0.0.1 www.networkassociates.com
 127.0.0.1 www.oxyd.fr
 127.0.0.1 www.pandasoftware.com
 127.0.0.1 www.sophos.com
 127.0.0.1 www.symantec.com
 127.0.0.1 www.t35.com
 127.0.0.1 www.t35.net
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.viruslist.com
 127.0.0.1 www.virustotal.com

Также выгружает из памяти процессы, имена которых попадают в следующий список:

 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ATUPDATER.EXE
 ATUPDATER.EXE
 AUPDATE.EXE
 AUTODOWN.EXE
 AUTOTRACE.EXE
 AUTOUPDATE.EXE
 AVPUPD.EXE
 AVWUPD32.EXE
 AVXQUAR.EXE
 b055262c.dll
 backdoor.rbot.gen.exe
 backdoor.rbot.gen_(17).exe
 CFIAUDIT.EXE
 dailin.exe
 DRWEBUPW.EXE
 F-AGOBOT.EXE
 GfxAcc.exe
 HIJACKTHIS.EXE
 IAOIN.EXE
 ICSSUPPNT.EXE
 ICSUPP95.EXE
 Lien Van de Kelderrr.exe
 LUALL.EXE
 MCUPDATE.EXE
 msnmsgr.exe
 msssss.exe
 NUPGRADE.EXE
 NUPGRADE.EXE
 rasmngr.exe
 RAVMOND.exe
 RB.EXE
 Systra.exe
 taskmanagr.exe
 UPDATE.EXE
 VisualGuard.exe
 wfdmgr.exe
 WIN32.EXE
 WIN32US.EXE
 WINACTIVE.EXE
 WIN-BUGSFIX.EXE
 WINDOW.EXE
 WINDOWS.EXE
 WININETD.EXE
 WININIT.EXE
 WININITX.EXE
 WINLOGIN.EXE
 WINMAIN.EXE
 WINPPR32.EXE
 WINRECON.EXE
 winshost.exe
 WINSSK32.EXE
 WINSTART.EXE
 WINSTART001.EXE
 WINTSK32.EXE
 WINUPDATE.EXE
 WKUFIND.EXE
 WNAD.EXE
 WNT.EXE
 wowpos32.exe
 WRADMIN.EXE
 WRCTRL.EXE
 wuamga.exe
 wuamgrd.exe
 WUPDATER.EXE
 WUPDT.EXE
 WYVERNWORKSFIREWALL.EXE
 XPF202EN.EXE
 ZAPRO.EXE
 ZAPSETUP3001.EXE
 ZATUTOR.EXE
 ZONALM2601.EXE
 ZONEALARM.EXE
 

Скачивает со следующих адресов файл с именем upx.exe (Антивирус Касперского детектирует данный файл как Backdoor.Win32.Surila.ak):

 http://***google.biz
 http://4***scripts.com
 http://***ogle.com

После чего сохраняет этот файл на зараженном компьютере и запускает на исполнение.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.