Backdoor.Win32. DSSdoor.c

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 419969 байт. Упакована при помощи UPX. Размер распакованного файла — около 890 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец инсталлирует компоненты Visual Basic в системный каталог Windows («%System%»):

MSINET.OCX 
regobj.dll
SocketX.DLL
SocketX.OCX

Вирус ищет в системе следующие процессы:

*firewall*.exe
*zonealarm*.exe
*zlclient*.exe
frw.exe
nc2000.exe
jammer.exe
cpd.exe
comsocks.exe
Smc.exe
iamapp.exe
persfw.exe
pfwwadmin.exe
Trojan Guarder.exe      
looknstop.exe
Lnscfg.exe
aports.exe
PLManager.exe
PLService.exe
awpta.exe
UpPDB.exe
Commview.dll
Anti-Virus&Trojan.exe
LinkFerret.Exe
ItCanNet.exe
PRT.EXE
NMain.exe
netscanpro.exe
Tcpview.exe
tcpvcon.exe
Anti-Virus&Spyware.exe
Armor2net.exe
fwsrv.exe
sppfw.exe
AlertWall.exe
MPF.exe
kpf4ss.exe
kpf4gui.exe

Данный бэкдор также производит поиск окон с заголовками:

firewall
ZoneAlarm
Net-Commando
Jammer
ComSocks
SPF
AtGuard
Trojan Guarder  
Active Ports
PortsLock
AWPTA
CommView
LinkFerret Network Monitor
ItCan.Net Monitor
Net2112 TCPRT
TSCAN PRO
tcpview
Anti-Virus&Trojan
Anti-Virus&Spyware
AlertWall
SafeZone

В случае обнаружения перечисленных процессов и окон троянская программа прерывает процесс инсталляции.

В противном случае бэкдор регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DSS" = "<путь к исполняемому файлу троянца>"

Таким образом, при каждом последующем старте Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус открывает произвольный порт и ожидает команд от злоумышленника. Последний имеет возможность осуществлять следующие действия:

* загружать и запускать приложения;

* отображать различные сообщения на экране компьютера;

* добавлять записи в список хостов — «%System%\drivers\etc\hosts»;

* скачивать файлы со следующих URL:

      www.freeiteducation.com
      www.sms-networks.com
      www.clickonteens.com
      www.custombabes.com
      www.hackology.com
      www.dataserverfx.com
      www.dfhdjkhskjdfhkje.com