Backdoor.Win32.SdBot.amh

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине.

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл. Размер зараженного файла 61952 байта.

Инсталляция

При инсталляции бэкдор копирует себя в корневой каталог Windows с именем win32ssr.exe:

%Windir%\win32ssr.exe

Причем данный файл создается с атрибутами скрытый (hidden), системный (system) и только для чтения (read only).

Бекдор регистрирует в реестре сервис Win32Sr в режиме автозапуска (параметр Start="dword:00000002").

Для этого в системном реестре создаются следующие записи:

[HKLM\System\CurrentControlSet\Services\Win32Sr]
 DisplayName=" Win32Sr"
 ErrorControl="dword:00000000"
 ImagePath="%Windir%\win32ssr.exe"
 ObjectName="LocalSystem"
 Start="dword:00000002"
 Type="dword:00000110"

Также бэкдор изменяет следующие записи системного реестра, чтобы заблокировать автоматический запуск некоторых сервисов (Security Center Service, Remote Registry и пр.):

[HKLM\System\CurrentControlSet\Services\wscsvc]
 Start="dword:00000004"

[HKLM\System\CurrentControlSet\Services\RemoteRegistry]
 Start="dword:00000004"

[HKLM\System\CurrentControlSet\Services\TlntSvr]
 Start="dword:00000004"

[HKLM\System\CurrentControlSet\Services\Messenger]
 Start="dword:00000004"

Также бэкдор изменяет следующие записи в системном реестре:

[HKLM\Software\Microsoft\Ole]
 "EnableDCOM"="N"

[HKLM\System\CurrentControlSet\Control\Lsa]
 "restrictanonymous"="dword:00000001"

[HKLM\Software\Microsoft\Security Center]
 "UpdatesDisableNotify"="dword:00000001"
 "AntiVirusDisableNotify"="dword:00000001"
 "FirewallDisableNotify"="dword:00000001"
 "AntiVirusOverride"="dword:00000001"
 "FirewallOverride"="dword:00000001"

[HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
 "DoNotAllowXPSP2"="dword:00000001"

[HKLM\System\CurrentControlSet\Control]
 WaitToKillServiceTimeout="7000"

[HKLM\System\CurrentControlSet\Services\lanmanserver\parameters]
 AutoShareWks="dword:00000000"
 AutoShareServer="dword:00000000"

[HKLM\System\CurrentControlSet\ Services\lanmanworkstation\parameters]
 AutoShareWks="dword:00000000"
 AutoShareServer="dword:00000000"

Деструктивная активность

Программа соединяется с различными серверами IRC, используя TCP-порт 6667, и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

* мониторинг сети в поисках «интересных» пакетов (например, содержащих пароли к FTP-серверам и т.д.)

* сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) и др.), машин со «слабыми» системными паролями (бэкдор содержит в своем коде некоторые популярные пароли) или открытыми сетевыми ресурсами;

* копирование и запуск себя на уязвимых машинах;

* загрузка и запуск на зараженном компьютере различных файлов;

* удаление файлов;

* остановка процесов различных антивирусных программ и отладчиков;

* отсылка злоумышелннику подробной информации о зараженной системе, в том числе пароли, почтовые адреса и другую секретную информацию;

* выполнение на зараженном компьютере различных команд;

* и другое.