Backdoor.Win32. HareBot.ho

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 24917 байт. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в следующие файлы:


%System%\ms18_word.exe
%USERPROFILE%\ms18_word.exe

Для автоматического запуска созданных копий при каждом следующем старте системы бэкдор создает ключи системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%System%\ms18_word.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%USERPROFILE%\ms18_word.exe"

Далее для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

/c del <полный путь к оригинальному файлу бэкдора> >> NUL

После этого бэкдор завершает свою работу.

Деструктивная активность

После запуска бэкдор запускает экземпляр процесса "%System%\svchost.exe" и внедряет в его адресное пространство исполняемый код, реализующий описанный ниже функционал.

В цикле через каждые 20 секунд выполняется поочередное соединение со следующими удаленными хостами:


69.****.186
97.****.227
69.****.170
72.****.117
74.****.82
74.****.42
92.****.118
fire****e.com
fuc****ebs.com
ani****ut.cn

После соединения на очередной хост отправляется запрос следующего вида:

GET
/40E8001430303030303030303030303030303030303031306
C0000014466000000007600000642EB000530F3C3D4E2
HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Host: mg****06k.com Connection: Keep-Alive

В ответ на посланный запрос бэкдор получает идентификатор команды, в зависимости от которого могут выполняться следующие действия:

* загрузка файлов по полученным от злоумышленника ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя как

%Temp%\BN<.tmp

где – случайное шестнадцатеричное число. После успешной загрузки файлы запускаются на выполнение.

* Получение данных от злоумышленника и внедрение их в качестве исполняемого кода в адресное пространство экземпляра процесса "svchost.exe".