Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине.
Представляет собой Windows PE-EXE файл. Размер зараженного файла 61952 байта.
Инсталляция
При инсталляции бэкдор копирует себя в корневой каталог Windows с именем win32ssr.exe:
%Windir%\win32ssr.exe
Причем данный файл создается с атрибутами скрытый (hidden), системный (system) и только для чтения (read only).
Бекдор регистрирует в реестре сервис Win32Sr в режиме автозапуска (параметр Start="dword:00000002").
Для этого в системном реестре создаются следующие записи:
[HKLM\System\CurrentControlSet\Services\Win32Sr] DisplayName=" Win32Sr" ErrorControl="dword:00000000" ImagePath="%Windir%\win32ssr.exe" ObjectName="LocalSystem" Start="dword:00000002" Type="dword:00000110"
Также бэкдор изменяет следующие записи системного реестра, чтобы заблокировать автоматический запуск некоторых сервисов (Security Center Service, Remote Registry и пр.):
[HKLM\System\CurrentControlSet\Services\wscsvc] Start="dword:00000004" [HKLM\System\CurrentControlSet\Services\RemoteRegistry] Start="dword:00000004" [HKLM\System\CurrentControlSet\Services\TlntSvr] Start="dword:00000004" [HKLM\System\CurrentControlSet\Services\Messenger] Start="dword:00000004" Также бэкдор изменяет следующие записи в системном реестре: [HKLM\Software\Microsoft\Ole] "EnableDCOM"="N" [HKLM\System\CurrentControlSet\Control\Lsa] "restrictanonymous"="dword:00000001" [HKLM\Software\Microsoft\Security Center] "UpdatesDisableNotify"="dword:00000001" "AntiVirusDisableNotify"="dword:00000001" "FirewallDisableNotify"="dword:00000001" "AntiVirusOverride"="dword:00000001" "FirewallOverride"="dword:00000001" [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate] "DoNotAllowXPSP2"="dword:00000001" [HKLM\System\CurrentControlSet\Control] WaitToKillServiceTimeout="7000" [HKLM\System\CurrentControlSet\Services\lanmanserver\parameters] AutoShareWks="dword:00000000" AutoShareServer="dword:00000000" [HKLM\System\CurrentControlSet\ Services\lanmanworkstation\parameters] AutoShareWks="dword:00000000" AutoShareServer="dword:00000000"
Деструктивная активность
Программа соединяется с различными серверами IRC, используя TCP-порт 6667, и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.
Помимо этого бэкдор обладает следующей функциональностью:
* мониторинг сети в поисках «интересных» пакетов (например, содержащих пароли к FTP-серверам и т.д.)
* сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) и др.), машин со «слабыми» системными паролями (бэкдор содержит в своем коде некоторые популярные пароли) или открытыми сетевыми ресурсами;
* копирование и запуск себя на уязвимых машинах;
* загрузка и запуск на зараженном компьютере различных файлов;
* удаление файлов;
* остановка процесов различных антивирусных программ и отладчиков;
* отсылка злоумышелннику подробной информации о зараженной системе, в том числе пароли, почтовые адреса и другую секретную информацию;
* выполнение на зараженном компьютере различных команд;
* и другое.