Backdoor.Win32. IRCBot.abc

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE EXE-файл). Имеет размер 32704 байта.

Инсталляция

При инсталляции бэкдор запускает процесс «svchost.exe» и внедряет в него свой код.

Исполняемый файл вируса копируется в системную папку Windows. Имя файла-копии формируется следующим образом: из системной папки берется произвольный файл, в конец его имени добавляются случайным образом выбранная строчная буква латинского алфавита и расширение «.exe».

С целью автоматического запуска при последующем старте ОС троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Wupdate" = "<путь до исполняемого файла бэкдора>"

Деструктивная активность

На зараженной машине вредоносная программа выполняет следующие действия:

* Изменяет значение ключа системного реестра на следующее:

      [HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
      DisableRawSecurity = 1

* Завершает работу службы «sharedaccess».

* Похищает информацию об учетных записях Microsoft Outlook (включая пароли) из параметров ключей реестра:

      [HKLM\Software\Microsoft\Internet Account Manager\Accounts]
      SMTP Email Address
      SMTP Server
      SMTP Port
      POP3 User Name
      POP3 Server
      POP3 Port
      IMAP Port
      IMAP Server
      IMAP User Name
      HTTPMail User Name
      HTTPMail Server

* Похищает информацию об учетных записях Opera Mail (включая пароли).

* В файле конфигурации «<Папка с установленной Opera>\Mail\accounts.ini» читает значения параметров:

      Email
Incoming Username
Incoming Servername
Incoming Password

* Похищает содержимое файла «<Папка с установленной Opera>\profile\wand.dat».

* Получает список посещаемых пользователем интернет-сайтов.

Собранные сведения бэкдор сохраняет в файл-отчет, располагающийся во временной папке Windows. Отчет периодически отсылается на электронную почту злоумышленника.

* Подключается к IRC-серверу, используя 6667 TCP-порт, и получает от злоумышленника команды удаленного управления.

* Позволяет злоумышленнику производить атаки следующих типов:

o DDOS (c использованием ICMP-пакетов);

o IP Spoofing.