Backdoor.Win32. Delf.aow

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер около 200 КБ. Упакована при помощи UPX. Распакованный размер – около 518 КБ. Написана на Borland Delphi.

Инсталляция

После запуска бэкдор проверяет соответствие своего файлового имени строке:

"IEXPLORE.EXE"

Если это не так, то происходит проверка, не является ли файл копией вредоносной программы, расположенной в системном каталоге Windows в файле с именем "spoolsn.exe":

%System%\spoolsn.exe

Если файл с именем "spoolsn.exe" отсутсвует, происходит проверка наличия файла с именем "klick.sys" в подкаталоге "drivers" системного каталога Windows:

%System%\drivers\klick.sys

и в случае его присутствия в системном каталоге Windows создается и запускается пакетный файл командного интерпретатора с именем "batset.bat":

%System%\batset.bat

Данный файл имеет размер 87 байт, детектируется Антивирусом Касперского как Trojan.BAT.KillAV.ec

После чего бэкдор создает копию своего тела в файле с именем "spoolsn.exe", расположенного в системном каталоге Windows:

%System%\spoolsn.exe

устанавливает данному файлу атрибуты "скрытый" и "системный".

С помощью менеджера служб удаляет службу с именем:

Windows_Serve 

и после секундной задержки выполняет регистрацию созданной копии вредоносного файла в качестве автозапускающейся системной службы с именем:

Windows_Serve

отображаемым именем:

 
Windws_Server

и описанием:

Wndows_Serve

После этого происходит запуск файла-копии:

%System%\spoolsn.exe

а также создание и запуск в системном каталоге Windows пакетного файла командного интерпретатора с именем "Deleteme.bat", выполняющего удаление оригинальной копии вредоносной программы и самого себя.

%System%\Deleteme.bat

после чего происходит завершение текущей копии вредоносной программы.

Деструктивная активность

Бэкдор предоставляет злоумышленнику возможность удаленно управлять компьютером пользователя после его подключения по TCP-протоколу к 8820 порту удаленного сервера "asw412.3***.org":

asw412.3***.org:8820

Злоумышленнику доступны следующие действия:

* получение информации об инфицированной системе: имя машины, список сетевых соединений, тип операционной системы, производительность системы, объём оперативной памяти. Эти данные хранятся в файле-отчете с именем "DDOSBZ.TXT" в системном каталоге Windows:

      %System%\DDOSBZ.TXT
* удаление вредоносной программы из системы;
* завершение работы системы, выключение или перезагрузка инфицированной системы;
* использование инфицированной системы в качестве прокси-сервера;
* выполнение различных типов DDOS атак;
* загрузка, сохранение в системный каталог Windows файлов со случайно
сгенерированным именем и их последующий запуск;
* установка стартовой страницы браузера Internet Explorer;
* установка значений различных политик безопасности;
* регистрация автозапуска вредоносных программ.

Наличие работающей вредоносной программы можно отследить по наличию в списке процессов процесса с именем "spoolsn.exe", скрытой копии браузера Internet Explorer – процесса "iexplore.exe".

Также бэкдор производит отключение политики автозапуска файлов на логических дисках путем установки значения параметра системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = 0x00000000

Далее происходит создание копий вредоносного файла в корневых каталогах всех логических дисков в виде файлов с именами "spoolsn.exe":

.\spoolsn.exe

а также файлов с именами "AutoRun.inf" размером 29 байт, обеспечивающих автозапуск этих вредоносных копий.