Backdoor.Win32. Ruskill.y

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Написана на С++.

Инсталляция

После запуска вредонос перемещает свое оригинальное тело и сохраняет под следующим именем:

%Documents and Settings%\%Current User%\Application Data\<rnd>.exe
где rnd – случайных 6 латинских букв. Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>"="%Documents and Settings%\%Current User%\
Application Data\<rnd>.exe"

Деструктивная активность

Далее вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "aciCty21CAjoSS8o". Также выполняет внедрение своего вредоносного кода в адресное пространство процесса "explorer.exe" и всех запущенных системных процессов. Для скрытия своей вредоносной активности, а также для предотвращения своего удаления из системы бэкдор устанавливает системные перехватчики для следующих функций:

NtEnumerateValueKey
NtQueryDirectoryFile
CopyFileA
CopyFileW
DeleteFileA
DeleteFileW
MoveFileA
MoveFileW
CreateFileA
CreateFileW
Send
GetAddrInfoW
HttpSendRequestA
HttpSendRequestW
InternetWriteFile
DnsQuery_A
DnsQuery_W
PR_Write
URLDownloadToFileA
URLDownloadToFileW
RegCreateKeyExA
RegCreateKeyExW
Вредонос блокирует доступ к вэб-ресурсам доменные адреса которых содержат в себе строки:
webroot.
fortinet.
virusbuster.nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
Symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.
Далее бэкдор подключается к IRC-серверу злоумышленника для получения дополнительных команд. Вредонос выполняет подключение к управляющему серверу со следующими параметрами: IP-адрес:
173.***.103.19
Порт:
8888
Ник:
n{US|XPa}<rnd>
Пользователь:
<rnd>
Канал:
#DarkSons#
где rnd – случайные латинские буквы. После подключения, бэкдор сразу получает команду загрузки обновленной версии вредоноса и ссылки, по которым будет производиться загрузка. На момент создания описания вредонос загружал файлы по следующим ссылкам:
http://pictur***eave.com/67cf27c1deb85bc972606e13390b3c2c.exe
http://img1***erosh.com/2011/05/09/134130792.gif
http://movie***boost.in/install.52161.exe
которые сохраняются соответственно под следующими именами:
%Documents and Settings%\%Current User%\Application Data\
<rnd>.exe –обновленная версия вредоноса, имеет размер 188416
байт и детектируется антивирусом Касперского как
Trojan.Win32.Powp.pwt.
%Documents and Settings%\%Current User%\Application Data\1.tmp –
имеет размер 84480 байт и детектируется антивирусом Касперского
как Trojan.Win32.Jorik.Skor.acz.

%Documents and Settings%\%Current User%\Application Data\2.tmp –
имеет размер 71168 байт.
Далее загруженные файлы запускаются на выполнение. Вредонос собирает системную информацию, а именно:
  • IP адрес и месторасположение зараженной системы;
  • Локаль;
  • Тип ОС;
  • Уровень привилегий текущего пользователя.

IP-адрес и месторасположение системы троянец определяет путем обращения к следующему URL:

http://api.wi***ania.com/
Для приема и передачи параметров создает именованный канал с именем:
\\.\pipe\OgarD_ipc
Пытается выполнить подключение по следующим URL:
haso***tlgg.com
tama**anslate-google-cache.com
mate***ukatlgg.com
magazin***voddebila.com
ngrbck***adi-ga-van.info
fant***ervebeer.com
ngrbc***uristicka-agencija-reality.co.cc
ngrbck***aintgroup.co.za
Также, в зависимости от полученных команд с сервера злоумышленника, бэкдор может выполнять следующий деструктивный функционал:
  • Модифицировать системные файлы:
    regsvr32.exe
    cmd.exe
    rundll32.exe
    regedit.exe
    verclsid.exe
    ipconfig.exe
  • Похищать конфиденциальную информацию пользователя, которая сохраняется в браузерах "Firefox" и "MS Internet Explorer". Похищать логины и пароли пользователя для доступа к следующим вэб-ресурсам:
    OfficeBanking
    LogMeIn
    Megaupload
    FileServe
    Twitter
    cPanel
    AlertPay
    Moneybookers
    Runescape
    DynDNS
    NoIP
    Steam
    Hackforums
    Facebook
    Yahoo
    Microsoft Live
    GMX
    Gmail
    Fastmail
    BigString
    AOL
    YouTube
    PayPal
  • Выполнять атаку типа отказ от обслуживания DDoS (Distributed Denial of Service) используя следующие методы:
    HTTP - флуд
    UDP – флуд
    SYN – флуд
    Тип атаки и адрес жертвы задается злоумышленником.
  • Посещать заданные злоумышленником веб-ресурсы.
  • Загружать по заданным ссылкам файлы и запускать их на выполнение. Загруженные файлы сохраняются под именем:
    %Documents and Settings%\%Current User%\Application 
    Data\<имя_временного_файла>.tmp
  • Заражать вэб-страницы на FTP и HTTP сервере пользователя, добавляя в страницы скрытый фрейм (iframe).
  • Выполнять манипуляции с DNS запросами для перенаправления и блокировки доступа к заданным сайтам.
  • Создавать SOCKS-прокси сервер на случайном TCP порте.
  • Распространятся на съемные носители, а также через IM клиенты.

Распространение

После подключения съемного носителя вредонос перехватывает сообщение системы о нахождении нового устройства и выполняет заражение съемного носителя – копирует свой исполняемый файл под именем:

<X>:\Recycler\9fddc8d5.exe
где X – буква логического диска съемного носителя. Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Файлам устанавливается атрибут "Скрытый".

Также вредонос выполняет распространение вредоносных файлов, используя программы мгновенного обмена сообщениями - MSN, Pidgin, Xchat, mIRC. Вредонос получает от злоумышленника ссылку на вредоносный файл, а также сообщение, которое будет рассылаться всем контактам пользователя. Бэкдор получает сообщение такого вида:

hehhe!
http://my***book-album.tk/profile-pic001634.jpg