Backdoor.Win32. Bredolab.bvv
Backdoor.Win32. Bredolab.bvv
Alexander Antipov
Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\digiwet.dllДля автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders" = "digiwet.dll"
name="doc3">
Деструктивная активность
Программа соединяется с сервером
http://78.109.29.112.ruНа который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=bot&entity_list=&uid=&first=1&guid=8809417 64&v=15&rnd=8520045
В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir%
\Temp\wpv<rnd>.exe и запускает.Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=report&
guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1
260188029:unique_start;1260433697:unique_start;1260199741:unique_start
Таким образом, сообщая серверу об успешном заражении компьютера. guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1
260188029:unique_start;1260433697:unique_start;1260199741:unique_start
Большой брат следит за вами, но мы знаем, как остановить его