Backdoor.Win32. VanBot.bk

Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC.

Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC. Является приложением Windows (PE EXE-файл). Имеет размер 207872 байта.

Инсталляция

При инсталляции бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\explorewin.exe

После этого оригинальный файл запуска удаляется.

С целью автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Explorer" = "%System%\explorewin.exe"

Деструктивная активность

Бэкдор завершает процессы, главные окна которых содержат строки:

OLLYDBG
File Monitor
Registry Monitor

Троянец пытается установить соединение с IRC-сервером злоумышленника. Редирект на сервер осуществляется через следующие сайты:

lol.godhatesfags.com:1863
is.wayne.brady.gonna.have.to.chokeabitch.us:8080
x.anti-viral.us:8080
x.rofflewaffles.us:8080

При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим информацию о зараженной системе.

Посылая вредоносной программе команды через IRC, злоумышленник может выполнять следующие действия:

    * производить в сети пользователя поиск компьютеров, имеющих уязвимость 
переполнения буфера в системной службе MS06-040 (подробнее об этом см. здесь); * распространять бэкдор на машины в сети, имеющие указанную уязвимость; * загружать на компьютер пользователя с указанных злоумышленником URL и запускать
на исполнение различные файлы; * создавать SOCKS4 прокси-сервер на указанном TCP-порте; * создавать HTTP прокси-сервер на указанном TCP-порте; * запускать FTP-сервер, при подключении к которому появляется возможность получить
доступ к файлам на жестком диске.