Backdoor.Win32.Breplibot.ae

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Представляет собой Windows PE EXE-файл. Имеет размер 31232 байта.

Инсталляция

После запуска бэкдор копирует себя в системный каталог Windows с именем svcsvh32.exe:

%System%\svcsvh32.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "WindowsDiskEvt"="svcsvh32.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Бэкдор создает следующий уникальный идентификатор для определения своего присутствия в системе:

svcsvh32.exe

После чего оригинальный запускаемый файл удаляется.

Деструктивная активность

Программа соединяется со следующими IRC-серверами и получает команды удалённого управления от «хозяина»:

128.119.60.144
152.7.4.74
161.6.23.28
170.140.216.236
170.140.240.82

Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Также бэкдор имеет функцию обмана стандартного Windows Firewall. Бэкдор прописывает себя в списке разрешенных программ, тем самым его действия не могут быть заблокированы.

Также бэкдор пытается выгрузить из системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.

Рекомендации по удалению
  1. При помощи Диспетчера Задач (Task Manager) завершить процесс с именем svcsvh32.exe.
  2. Удалить следующие записи в системном реестре:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
     "WindowsDiskEvt"="svcsvh32.exe"
  3. Необходимо удалить следующий файл:
    %System%\svcsvh32.exe