Бэкдор с функционалом червя, создающий свои копии на локальных и съемных дисках.
Инсталляция
Бэкдор копирует свой исполняемый файл как:
%System%\drivers\svchost.exe
а так же в следующие папки:
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer\Connection Wizard
%Program Files%\Common Files\Microsoft Shared
%WinDir%\addins
%System%\dllcache
%System%\IME
%WinDir%\system
c именем состоящим из случайной последовательности прописных букв и расширением .exe.
Распространение
Бэкдор копирует свой исполняемый файл в корень всех съемных дисков со следующим именем:
Также вместе со своим исполняемым файлом бэкдор помещает в корень раздела сопровождающий файл:
Данный файл запускает исполняемый файл бэкдора каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Данный бэкдор заражает исполняемые файлы. С этой целью вредоносная программа сканирует жесткий диск компьютера в поисках файлов с расширением “.exe”, имеющих PE-формат и функцию “CreateProcessA” в таблице импортов. Если такой файл найден, бэкдор вставляет свой код в конец первой исполняемой секции и перенаправляет точку входа в программу на него. Вставленный код при запуске программы будет запускать произвольную копию бэкдора на жестком диске, путь к которой задан статически.
Таким образом, при каждом запуске зараженной программы будет запускаться и исполняемый файл бэкдора.
Файлы, находящиеся в следующих папках не заражаются:
Movie Maker
Microsoft Frontpage
WINNT
ComPlus Applications;Messenger
NetMeeting
Internet Explorer
Messenger
WindowsUpdate
Windows NT
Recycled
System Volume Informatio
Documents and Settings
WINDOWS
Outlook Express
Windows Media Player
При запуске бэкдор запускает копию системного процесса svchost.exe и внедряет в него свой код, который выполняет следующие действия:
Получает со следующего адреса:
htpp://wblove917.*****org:917
список адресов для проведения DDOS атаки. Скачанный список сохраняется в файл:
%System%\svchost.ini
После этого бэкдор производит атаку на адреса в списке, посылая по HTTP протоколу большое количество пакетов содержащие мусор следующего вида:
GET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET
*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET
^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET
Данная атака может вызвать сбои в работе атакуемых веб-серверов.
Также бэкдор скачивает файл по следующему URL:
http://wblove917.*****org/DFG.asp
На момент создания описания данная ссылка не работала. Скачанный файл сохраняется под следующим именем:
c:\pagefile.pif
После чего запускается на выполнение.