Backdoor.Win32. HareBot.avg

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 29493 байта. Написана на C++.

Инсталляция

После запуска бэкдор выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:

  MsSyncronizationManager
  MsArbiterManager
  

• Копирует свое тело в файлы:

  %System%\wuaucldt.exe
  %USERPROFILE%\wuaucldt.exe
  

• Для автоматического запуска созданных копий при каждом следующем старте системы создает следующие ключи системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "syncman" = "%System%\wuaucldt.exe"
  
  
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "syncman" = "%USERPROFILE%\wuaucldt.exe"
  

  Ключи создаются в отдельном потоке в бесконечном цикле через каждые 5 секунд, что усложняет процесс удаления бэкдора.
• Запускает созданные копии на выполнение.

Деструктивная активность

После запуска бэкдор запускает на выполнение экземпляр процесса "SVCHOST.EXE", внедряя в его адресное пространство исполняемый код, реализующий следующий функционал:

• создается уникальный идентификатор с именем:

  scmservice_mutex

• Устанавливается соединение с одним из следующих хостов:

  174.***.203
  174.***.201
  174.***.134
  68.***.4
  black.n***tom.com
  che***ash.com
  

• Далее на сервер злоумышленника отправляется GET-запрос, после чего бэкдор переходит в цикл ожидания команд. По команде злоумышленника бэкдор может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как

  %Temp%\nvhg0.tmp

• Кроме того, выполняется запуск новых экземпляров процесса "SVCHOST.EXE", с внедрением в их адресные пространства вредоносного кода. Таким образом, в системе одновременно присутствуют несколько экземпляров процесса "SVCHOST.EXE", реализующих рассмотренный функционал.