Backdoor.Win32. Trup.a

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE EXE-файл). Имеет размер 24576 байт. Написана на С++.

Инсталляция

После активации бэкдор инфицирует Mbr (Master Boot Record). Таким образом при загрузке mbr из первых 37 секторов считывает и расшифровывает основной код вредоноса, после чего из 38 сектора считывает и расшифровывает копию оригинального Mbr (шифр меняет местами тетрады в байте) и продолжается загрузка ОС.

Далее создается поток, который создает файл на винчестере:

%WinDir%\ali.exe
Данный файл имеет размер 17408 байт. Детектируется Антивирусом Касперского, как оригинальное тело бэкдора Backdoor.Win32.Trup.a. и создается ключ автозагрузки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"qQ" = "%WinDir%\ali.exe"
После запуска файла "%WinDir%\ali.exe", удаляется ключ автозагрузки и при помощи функции "rename" файл "ali.exe" перемещается во временный каталог текущего пользователя Windows под именем "110.txt":
%Temp%\110.txt
Также во временном каталоге текущего пользователя Windows создается копия тела бэкдора под именем "124.txt":
%Temp%\124.txt
Всем созданным файлам присваивается атрибут "скрытый".

Деструктивная активность

Для контроля уникальности своего процесса в системе бэкдор создает уникальный идентификатор с именем:

LockIE..
Бэкдор создает поток, который периодически загружает зашифрованный файл конфигурации в кеш IE со следующего URL:
http://list.577q.com/sms/xxx.ini
Далее файл расшифровывается и сохраняется в корневой каталог Windows под именем "Win.ini":
%WinDir%\Win.ini
Бэкдор из файла конфигурации получает ссылку для загрузки файла. Загруженный файл сохраняется в кеш IE, после чего запускается на выполнение. На момент создания описания ссылки для загрузки файла не было.

Также считывает из указанного выше файла URL. Если пользователь работает с браузером Internet Explorer, TheWorld Browser, SOGOUEXPLORER или QQ, то будет он будет перенаправлен по ссылке, считанной из файла. На момент составления описания браузер переправлялся по ссылке

http://66.79.168.187:55325/tuling.html
Отправляет следующий HTTP запрос на сервер злоумышленнику:
http://list.577q.com/sms/do.phpuserid=<rnd1>&time=<rnd2>&msg
=<rnd3>&pauid=1
Где <rnd1> - физический адрес сетевой карты, <rnd2> - текущая дата и время, <rnd3> - последовательность цифр, например "01704800628118".