Backdoor.Win32. IRCBot.oml

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB.

Инсталляция

После запуска бэкдор выполняет следующие действия:

  • Копирует себя по пути:
    %System%\drivers\BSyBT.exe
  • Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
    Explorer\Run] “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
  • Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "<путь к оригинальному файлу троянца>" =
    "< путь к оригинальному файлу троянца> :*:
    C:\WINDOWS\system32\drivers\BSyBT.exe

Распространение

Бэкдор копирует свое тело на все доступные для съемные диски под именем:

RECYCLER\S-51-9-25-3434476501-1644491933-
601013360-1214\BSyBT.exe

Вместе со своим исполняемым файлом бэкдор помещает файл:

< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

Программа соединяется с серверами IRC:

java.kutlufamily.com
java.baldmanpower.com
java.baldmanpower.net
java.baldmanpower.org
и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

  • сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами;
  • копирование и запуск себя на уязвимых машинах;
  • загрузка и запуск на зараженном компьютере различных файлов;
  • остановка процессов различных антивирусных программ и отладчиков;
  • отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию;
  • выполнение на зараженном компьютере различных команд;
  • и другое.