Security Lab

Backdoor.Win32. Httpbot.abe

Backdoor.Win32. Httpbot.abe

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 32011 байт. Упакована MEW. Распакованный размер – около 41 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл: 

%System%\sadf.exe
Файл создается с атрибутом "скрытый" (hidden). Для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами: 
/c del <полный путь к оригинальному файлу бэкдора> >> NUL
После этого бэкдор завершает свою работу.
name="doc3">

Деструктивная активность

После запуска бэкдор выполняет следующие действия:

  • создает уникальный идентификатор с именем: 
    MNUG65JOHA4DMNRON5ZGOORSGAYDS===
  • Извлекает из своего тела файл, который сохраняется в системе как 
    %System%\drivers\PCIDump.sys
    (4352 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.pj")
  • Создает и запускает в системе службу с именем "sadfsdfa", исполняемым файлом которой является извлеченный ранее файл.
  • Подключается к удаленному хосту: 
    ch****66.org
  • Отправляет на хост следующую информацию о системе:
    • значение ключа системного реестра
      [HKLM\Hardware\Description\System\CentralProcessor\0] "ProcessorNameString"
    • версию операционной системы;
    • информацию о текущем использовании системой виртуальной и физической памяти;
    • язык, установленный в системе по умолчанию.
  • Далее бэкдор переходит в цикл ожидания команд. Злоумышленник может посылать бэкдору идентификаторы команд, в зависимости от которых могут выполняться следующие действия:
    • идентификаторы 0x100000, 0x2000000 – организация DoS-атак на указанные злоумышленником серверы;
    • 0x800000 – выключение компьютера;
    • 0x400000 – перезагрузка компьютера;
    • 0x4000000 – загрузка файла по полученной от злоумышленника ссылке. Загруженный файл сохраняется в корневом каталоге диска C: как 
      c:\2.exe
    • 0x8000000 – запуск процесса;
    • 0x1000000 – удаление службы "sadfsdfa" и файла "%System%\drivers\PCIDump.sys".

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Хакеры используют картинки для взлома Telegram: не попадитесь на крючок

Конец невидимости F-22: китайские радары наступают на пятки стелс-самолетам

Дистрибьюторы РФ ультимативно потребовали от кинотеатров прекратить пиратский прокат

Нанотехнологии против супербактерий: микромоторы из Испании могут спасти миллионы жизней

Ученые НАСА создают безмоторный двигатель, который бросает вызов законам гравитации

Сила нанопузырьков: новые стандарты скорости для будущих вычислений

Llama 3 – достойный конкурент для LLM от OpenAI, Google и Anthropic

PT ISIM: новые возможности для распределенных производственных структур и MSSP

Уникальный нитропласт: обнаружен клеточный компонент, меняющий баланс в природе