Backdoor.Win32.SdBot.amh

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине.

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл. Размер зараженного файла 61952 байта.

Инсталляция

При инсталляции бэкдор копирует себя в корневой каталог Windows с именем win32ssr.exe:

%Windir%\win32ssr.exe

Причем данный файл создается с атрибутами скрытый (hidden), системный (system) и только для чтения (read only).

Бекдор регистрирует в реестре сервис Win32Sr в режиме автозапуска (параметр Start="dword:00000002").

Для этого в системном реестре создаются следующие записи:

 [HKLM\System\CurrentControlSet\Services\Win32Sr]
  DisplayName=" Win32Sr"
  ErrorControl="dword:00000000"
  ImagePath="%Windir%\win32ssr.exe"
  ObjectName="LocalSystem"
  Start="dword:00000002"
  Type="dword:00000110"
 

Также бэкдор изменяет следующие записи системного реестра, чтобы заблокировать автоматический запуск некоторых сервисов (Security Center Service, Remote Registry и пр.):

 [HKLM\System\CurrentControlSet\Services\wscsvc]
  Start="dword:00000004"
 
 [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
  Start="dword:00000004"
 
 [HKLM\System\CurrentControlSet\Services\TlntSvr]
  Start="dword:00000004"
 
 [HKLM\System\CurrentControlSet\Services\Messenger]
  Start="dword:00000004"
 
 Также бэкдор изменяет следующие записи в системном реестре:
 
 [HKLM\Software\Microsoft\Ole]
  "EnableDCOM"="N"
 
 [HKLM\System\CurrentControlSet\Control\Lsa]
  "restrictanonymous"="dword:00000001"
 
 [HKLM\Software\Microsoft\Security Center]
  "UpdatesDisableNotify"="dword:00000001"
  "AntiVirusDisableNotify"="dword:00000001"
  "FirewallDisableNotify"="dword:00000001"
  "AntiVirusOverride"="dword:00000001"
  "FirewallOverride"="dword:00000001"
 
 [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
  "DoNotAllowXPSP2"="dword:00000001"
 
 [HKLM\System\CurrentControlSet\Control]
  WaitToKillServiceTimeout="7000"
 
 [HKLM\System\CurrentControlSet\Services\lanmanserver\parameters]
  AutoShareWks="dword:00000000"
  AutoShareServer="dword:00000000"
 
 [HKLM\System\CurrentControlSet\ Services\lanmanworkstation\parameters]
  AutoShareWks="dword:00000000"
  AutoShareServer="dword:00000000"

Деструктивная активность

Программа соединяется с различными серверами IRC, используя TCP-порт 6667, и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

* мониторинг сети в поисках «интересных» пакетов (например, содержащих пароли к FTP-серверам и т.д.)

* сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) и др.), машин со «слабыми» системными паролями (бэкдор содержит в своем коде некоторые популярные пароли) или открытыми сетевыми ресурсами;

* копирование и запуск себя на уязвимых машинах;

* загрузка и запуск на зараженном компьютере различных файлов;

* удаление файлов;

* остановка процесов различных антивирусных программ и отладчиков;

* отсылка злоумышелннику подробной информации о зараженной системе, в том числе пароли, почтовые адреса и другую секретную информацию;

* выполнение на зараженном компьютере различных команд;

* и другое.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.