Backdoor.Win32. DSSdoor.c

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 419969 байт. Упакована при помощи UPX. Размер распакованного файла — около 890 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец инсталлирует компоненты Visual Basic в системный каталог Windows («%System%»):

MSINET.OCX 
regobj.dll
SocketX.DLL
SocketX.OCX

Вирус ищет в системе следующие процессы:

 *firewall*.exe
 *zonealarm*.exe
 *zlclient*.exe
 frw.exe
 nc2000.exe
 jammer.exe
 cpd.exe
 comsocks.exe
 Smc.exe
 iamapp.exe
 persfw.exe
 pfwwadmin.exe
 Trojan Guarder.exe      
 looknstop.exe
 Lnscfg.exe
 aports.exe
 PLManager.exe
 PLService.exe
 awpta.exe
 UpPDB.exe
 Commview.dll
 Anti-Virus&Trojan.exe
 LinkFerret.Exe
 ItCanNet.exe
 PRT.EXE
 NMain.exe
 netscanpro.exe
 Tcpview.exe
 tcpvcon.exe
 Anti-Virus&Spyware.exe
 Armor2net.exe
 fwsrv.exe
 sppfw.exe
 AlertWall.exe
 MPF.exe
 kpf4ss.exe
 kpf4gui.exe

Данный бэкдор также производит поиск окон с заголовками:

 firewall
 ZoneAlarm
 Net-Commando
 Jammer
 ComSocks
 SPF
 AtGuard
 Trojan Guarder  
 Active Ports
 PortsLock
 AWPTA
 CommView
 LinkFerret Network Monitor
 ItCan.Net Monitor
 Net2112 TCPRT
 TSCAN PRO
 tcpview
 Anti-Virus&Trojan
 Anti-Virus&Spyware
 AlertWall
 SafeZone
 

В случае обнаружения перечисленных процессов и окон троянская программа прерывает процесс инсталляции.

В противном случае бэкдор регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DSS" = "<путь к исполняемому файлу троянца>"

Таким образом, при каждом последующем старте Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус открывает произвольный порт и ожидает команд от злоумышленника. Последний имеет возможность осуществлять следующие действия:

* загружать и запускать приложения;

* отображать различные сообщения на экране компьютера;

* добавлять записи в список хостов — «%System%\drivers\etc\hosts»;

* скачивать файлы со следующих URL:

       www.freeiteducation.com
       www.sms-networks.com
       www.clickonteens.com
       www.custombabes.com
       www.hackology.com
       www.dataserverfx.com
       www.dfhdjkhskjdfhkje.com