Backdoor.Win32. Httpbot.abe

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 32011 байт. Упакована MEW. Распакованный размер – около 41 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл:

%System%\sadf.exe
Файл создается с атрибутом "скрытый" (hidden). Для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del <полный путь к оригинальному файлу бэкдора> >> NUL
После этого бэкдор завершает свою работу.

Деструктивная активность

После запуска бэкдор выполняет следующие действия:

  • создает уникальный идентификатор с именем:
    MNUG65JOHA4DMNRON5ZGOORSGAYDS===
  • Извлекает из своего тела файл, который сохраняется в системе как
    %System%\drivers\PCIDump.sys
    (4352 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.pj")
  • Создает и запускает в системе службу с именем "sadfsdfa", исполняемым файлом которой является извлеченный ранее файл.
  • Подключается к удаленному хосту:
    ch****66.org
  • Отправляет на хост следующую информацию о системе:
    • значение ключа системного реестра
      [HKLM\Hardware\Description\System\CentralProcessor\0] "ProcessorNameString"
    • версию операционной системы;
    • информацию о текущем использовании системой виртуальной и физической памяти;
    • язык, установленный в системе по умолчанию.
  • Далее бэкдор переходит в цикл ожидания команд. Злоумышленник может посылать бэкдору идентификаторы команд, в зависимости от которых могут выполняться следующие действия:
    • идентификаторы 0x100000, 0x2000000 – организация DoS-атак на указанные злоумышленником серверы;
    • 0x800000 – выключение компьютера;
    • 0x400000 – перезагрузка компьютера;
    • 0x4000000 – загрузка файла по полученной от злоумышленника ссылке. Загруженный файл сохраняется в корневом каталоге диска C: как
      c:\2.exe
    • 0x8000000 – запуск процесса;
    • 0x1000000 – удаление службы "sadfsdfa" и файла "%System%\drivers\PCIDump.sys".