Backdoor.Win32. IRCBot.abc

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE EXE-файл). Имеет размер 32704 байта.

Инсталляция

При инсталляции бэкдор запускает процесс «svchost.exe» и внедряет в него свой код.

Исполняемый файл вируса копируется в системную папку Windows. Имя файла-копии формируется следующим образом: из системной папки берется произвольный файл, в конец его имени добавляются случайным образом выбранная строчная буква латинского алфавита и расширение «.exe».

С целью автоматического запуска при последующем старте ОС троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Wupdate" = "<путь до исполняемого файла бэкдора>"

Деструктивная активность

На зараженной машине вредоносная программа выполняет следующие действия:

* Изменяет значение ключа системного реестра на следующее:

       [HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
       DisableRawSecurity = 1
 

* Завершает работу службы «sharedaccess».

* Похищает информацию об учетных записях Microsoft Outlook (включая пароли) из параметров ключей реестра:

       [HKLM\Software\Microsoft\Internet Account Manager\Accounts]
       SMTP Email Address
       SMTP Server
       SMTP Port
       POP3 User Name
       POP3 Server
       POP3 Port
       IMAP Port
       IMAP Server
       IMAP User Name
       HTTPMail User Name
       HTTPMail Server
 

* Похищает информацию об учетных записях Opera Mail (включая пароли).

* В файле конфигурации «<Папка с установленной Opera>\Mail\accounts.ini» читает значения параметров:

      Email
Incoming Username
Incoming Servername
Incoming Password

* Похищает содержимое файла «<Папка с установленной Opera>\profile\wand.dat».

* Получает список посещаемых пользователем интернет-сайтов.

Собранные сведения бэкдор сохраняет в файл-отчет, располагающийся во временной папке Windows. Отчет периодически отсылается на электронную почту злоумышленника.

* Подключается к IRC-серверу, используя 6667 TCP-порт, и получает от злоумышленника команды удаленного управления.

* Позволяет злоумышленнику производить атаки следующих типов:

o DDOS (c использованием ICMP-пакетов);

o IP Spoofing.