Backdoor.Win32. Bredolab.bvv

Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.

Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\system32\digiwet.dll
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders" = "digiwet.dll"

Деструктивная активность

Программа соединяется с сервером

http://78.109.29.112.ru
На который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=bot&entity_list=&uid=&first=1&guid=8809417 64&v=15&rnd=8520045
В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir%
\Temp\wpv<rnd>.exe и запускает.
Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=report&
guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1
260188029:unique_start;1260433697:unique_start;1260199741:unique_start
Таким образом, сообщая серверу об успешном заражении компьютера.