Backdoor.Win32. Httpbot.vg

Бэкдор с функционалом червя, создающий свои копии на локальных и съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 13330 байт.

Инсталляция

Бэкдор копирует свой исполняемый файл как:

%System%\drivers\svchost.exe

а так же в следующие папки:

%Program Files%\Windows Media Player

%Program Files%\Internet Explorer\Connection Wizard

%Program Files%\Common Files\Microsoft Shared

%WinDir%\addins

%System%\dllcache

%System%\IME

%WinDir%\system

c именем состоящим из случайной последовательности прописных букв и расширением .exe.

Распространение

Бэкдор копирует свой исполняемый файл в корень всех съемных дисков со следующим именем:

:\setup.exe

Также вместе со своим исполняемым файлом бэкдор помещает в корень раздела сопровождающий файл:

:\autorun.inf, где X – буква съемного раздела.

Данный файл запускает исполняемый файл бэкдора каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Данный бэкдор заражает исполняемые файлы. С этой целью вредоносная программа сканирует жесткий диск компьютера в поисках файлов с расширением “.exe”, имеющих PE-формат и функцию “CreateProcessA” в таблице импортов. Если такой файл найден, бэкдор вставляет свой код в конец первой исполняемой секции и перенаправляет точку входа в программу на него. Вставленный код при запуске программы будет запускать произвольную копию бэкдора на жестком диске, путь к которой задан статически.

Таким образом, при каждом запуске зараженной программы будет запускаться и исполняемый файл бэкдора.

Файлы, находящиеся в следующих папках не заражаются:

Movie Maker

Microsoft Frontpage

WINNT

ComPlus Applications;Messenger

NetMeeting

Internet Explorer

Messenger

WindowsUpdate

Windows NT

Recycled

System Volume Informatio

Documents and Settings

WINDOWS

Outlook Express

Windows Media Player

При запуске бэкдор запускает копию системного процесса svchost.exe и внедряет в него свой код, который выполняет следующие действия:

Получает со следующего адреса:

htpp://wblove917.*****org:917

список адресов для проведения DDOS атаки. Скачанный список сохраняется в файл:

%System%\svchost.ini

После этого бэкдор производит атаку на адреса в списке, посылая по HTTP протоколу большое количество пакетов содержащие мусор следующего вида:

 
GET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET
*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET
^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET
^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET

Данная атака может вызвать сбои в работе атакуемых веб-серверов.

Также бэкдор скачивает файл по следующему URL:

http://wblove917.*****org/DFG.asp

На момент создания описания данная ссылка не работала. Скачанный файл сохраняется под следующим именем:

c:\pagefile.pif

После чего запускается на выполнение.