Backdoor.Win32. IRCBot.oml
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB.
Инсталляция
После запуска бэкдор выполняет следующие действия:
- Копирует себя по пути:
%System%\drivers\BSyBT.exe
- Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run] “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
- Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<путь к оригинальному файлу троянца>" =
"< путь к оригинальному файлу троянца> :*:
C:\WINDOWS\system32\drivers\BSyBT.exe
Распространение
Бэкдор копирует свое тело на все доступные для съемные диски под именем:
RECYCLER\S-51-9-25-3434476501-1644491933-
601013360-1214\BSyBT.exe
Вместе со своим исполняемым файлом бэкдор помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
name="doc3">
Деструктивная активность
Программа соединяется с серверами IRC:
java.kutlufamily.com
java.baldmanpower.com
java.baldmanpower.net
java.baldmanpower.org
и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.
Помимо этого бэкдор обладает следующей функциональностью:
- сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами;
- копирование и запуск себя на уязвимых машинах;
- загрузка и запуск на зараженном компьютере различных файлов;
- остановка процессов различных антивирусных программ и отладчиков;
- отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию;
- выполнение на зараженном компьютере различных команд;
- и другое.