Backdoor.Win32. SdBot.asr

Троянская программа, позволяющая злоумышленнику удалено выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.

Троянская программа, позволяющая злоумышленнику удалено выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.

Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер около 16 КБ, упакован при помощи WinUpack, распакованный размер около 147 КБ. Написана на языке программирования C.

Бэкдор инсталлируется в систему при помощи другой вредоносной программы.

Деструктивная активность

Из функции выполняющейся при загрузке библиотеки с кодом троянца в память (DllMain) вызывается процедура, создающая поток, в котором выполняется основной функционал троянца.

Сразу после создания потока в нем происходит загрузка дополнительных библиотек, используемых бекдором и расшифровка зашифрованных строк. С периодичностью в 30 секунд проверяется статус подключения к интернету. Если было обнаружено наличие доступа в интернет, то каждые 10 секунд делается попытка соединения с хостом SunnyDoll.***2.org.

При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим в себе информацию о зараженной системе. Формируемое имя может включать такую информацию о системе пользователя как: наличие клиента mIRC, драйверов захвата видеоизображения, версии операционной системы Windows и т.д.

После регистрации производится ожидание управляющих команд злоумышленника. Ниже приведен список, содержащий некоторые команды и описание действий выполняемых вредоносной программой при их получении:

Информационные
version     Версия вируса
selfpath     Строка с путем месторасположения вируса
ipis     IP-адресс зараженого компьютера пользователя
uptime     Время работы системы пользователя
threads     Список запущеных процессов
Управляющие
download     Загрузка указанного файла
ftp.download     Загрузка файла по протоколу FTP
get     Получение указаного файла с компьютера пользователя
httpproxy     Запуск прокси-сервера на компьютере пользователя
httpproxystop     Остановка запущеного прокси-сервера
killthread     Завершение указаного процесса
logoff     Завершение сеанса работы системы
poweroff     Выключение компьютера пользователя
reboot     Перегрузка системы
remove     Удаление вируса с компьютера пользователя
SEND     Загрузка файла на компьютер пользователя в системный каталог Windows (%System%) под указанным именем
shutdown     Завершение работы системы
update     Обновление вируса
visit     Посещение указанного интернет-ресурса
winexec     Выполнение указаного файла на компьютере пользователя

Путем использования HTTP прокси-сервера злоумышленник может выполнять операции на других компьютерах, а идентифицироваться они будут как выполняемые от имени зараженного хоста.