Backdoor.Win32. HareBot.avg

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл).

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 29493 байта. Написана на C++.

Инсталляция

После запуска бэкдор выполняет следующие действия:

  • для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
    MsSyncronizationManager
    MsArbiterManager
  • Копирует свое тело в файлы:
    %System%\wuaucldt.exe
    %USERPROFILE%\wuaucldt.exe
  • Для автоматического запуска созданных копий при каждом следующем старте системы создает следующие ключи системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "syncman" = "%System%\wuaucldt.exe"



    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "syncman" = "%USERPROFILE%\wuaucldt.exe"
    Ключи создаются в отдельном потоке в бесконечном цикле через каждые 5 секунд, что усложняет процесс удаления бэкдора.
  • Запускает созданные копии на выполнение.

Деструктивная активность

После запуска бэкдор запускает на выполнение экземпляр процесса "SVCHOST.EXE", внедряя в его адресное пространство исполняемый код, реализующий следующий функционал:

  • создается уникальный идентификатор с именем:
    scmservice_mutex
  • Устанавливается соединение с одним из следующих хостов:
    174.***.203
    174.***.201
    174.***.134
    68.***.4
    black.n***tom.com
    che***ash.com
  • Далее на сервер злоумышленника отправляется GET-запрос, после чего бэкдор переходит в цикл ожидания команд. По команде злоумышленника бэкдор может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как
    %Temp%\nvhg0.tmp
  • Кроме того, выполняется запуск новых экземпляров процесса "SVCHOST.EXE", с внедрением в их адресные пространства вредоносного кода. Таким образом, в системе одновременно присутствуют несколько экземпляров процесса "SVCHOST.EXE", реализующих рассмотренный функционал.