Backdoor.Win32.Buterat.bco

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл).

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 69120 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 410 КБ. Написана на C++.

Инсталляция

В зависимости от параметров запуска бэкдор копирует свое тело в файл:

%APPDATA%\netprotocol.exe
Или создает свою копию в системном каталоге Windows:
%System%\netprotocol.exe
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"  
Если данный ключ создать не удается, бэкдор создает ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"  
Если файл был скопирован в системный каталог Windows, то создается ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol"="%System%\netprotocol.exe"  
После этого бэкдор запускает созданную копию на выполнение.

Деструктивная активность

После запуска вредонос обращается к следующим серверам для получения команд дальнейшей работы:

http://kr***amdx.com/  http://ka***seuk.com/  http://ari***u.com/  http://l***irt.co.cc/  
После чего переходит в цикл ожидания команд. По команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая обновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем каталоге бэкдора как:
%WorkDir%\netprotdrvss
После успешной загрузки файл запускается на выполнение. Запросы к серверу злоумышленника, к примеру, могут иметь следующий вид:
  • успешная установка бэкдора в системе:
    <server>/nconfirm.php?rev=346&code=3m=0&num=40401870851072
  • запрос на получение команды:
    <server>/njob.php?num=<number>&rev=346
  • запрос на загрузку файла "netprotdrvss":
    <server>/nconfirm.php?rev=346&code=7m=0&num=  40401870851072
    Число "<number>" генерируется на основе текущего системного времени. Подстрока "<server>" – имя сервера из вышеприведенного списка. Для своей дальнейшей работы вредонос создает файл конфигурации, который располагается по следующему пути:
    %WorkDir%\System.log
    Помимо этого вредонос встраивает в посещаемые пользователем страницы Java Script код, предназначенный для отображения рекламы следующего ресурса:
    http://begun.ru
    Также бэкдор предназначен для «накрутки» статистики посещаемости сайтов - с сервера злоумышленника приходят поисковые запросы и ссылки на ресурсы, рейтинг которых необходимо повысить.

    Вредонос изменяет стартовую страницу, а также систему поиска по умолчанию для следующих браузеров:

    Internet Explorer  Opera  Mozilla Firefox  
  • Модифицирует значение параметров следующих ключей системного реестра:
    [HKCU\Software\Microsoft\Internet Explorer\Main]  "Start Page" = "http://we***olta.ru"    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\  {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]  "DisplayName"="Webvolta"  "URL"="http://we***olta.ru/search.php?q={searchTerms}"  
  • создает файл в системном каталоге Windows:
    %System%\operaprefs_fixed.ini
    Файл содержит следующие строки:
    [User Prefs]  Startup Type=2  Home URL= http://we***olta.ru  
  • модифицирует файл:
    %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.default\user.js
    Где <rnd1> - произвольная последовательность из цифр и букв латинского алфавита. записывает следующие строки
    user_pref("dom.disable_window_status_change", false);  user_pref("startup.homepage_override_url", "http://w***olta.ru");  user_pref("browser.startup.page", 1);  user_pref("browser.startup.homepage", "http://w***olta.ru");  user_pref("browser.search.selectedEngine", "Webvolta");  
  • создает файл по следующему пути:
    %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.default\  searchplugins\webvolta.xml  
    Файл содержит следующие строки:
    <SearchPlugin xmlns="http://www.mozilla.org/2006/browser/  search/">  <ShortName>Webvolta</ShortName>  <Description>Webvolta search.</Description>  <InputEncoding>windows-1251</InputEncoding>  <Url type="text/html" method="GET" template="  http://w***olta.ru/search.php?">  <Param name="q" value="{searchTerms}"/>  </Url></SearchPlugin>
    Также бэкдор выполняет следующие действия:
  • будучи запущенным с параметрами:
    /updatefile3  /updatefile2  /updatefile1  
    бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.
  • Вызывая функцию "InternetClearAllPerSiteCookieDecisions", очищает содержимое ветви системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\  Internet Settings\P3P\History]  
  • Создает ключи системного реестра:
    [HKLM\Software\Microsoft\Netprotocol]  "UniqueNum" = "<number>"    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\  .Current]  "(Default)" = ""    [HKLM\Software\Classes\MIME\Database\Content Type\  application/x-javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"    [HKLM\Software\Classes\MIME\Database\Content Type\  text/javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить ключи системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol" = "%APPDATA%\netprotocol.exe"    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "Netprotocol"="%System%\netprotocol.exe"    [HKLM\Software\Microsoft\Netprotocol]  "UniqueNum" = "<number>"    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]  "(Default)" = ""    [HKLM\Software\Classes\MIME\Database\Content Type\  application/x-javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"    [HKLM\Software\Classes\MIME\Database\Content Type\  text/javascript]  "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"  
  3. Восстановить оригинальные значения параметров системного реестра:
    [HKCU\Software\Microsoft\Internet Explorer\Main]  "Start Page"    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\  {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]  "DisplayName"  "URL"=  
  4. Удалить файлы:
    %APPDATA%\netprotocol.exe  %System%\netprotocol.exe  %WorkDir%\netprotdrvss  %WorkDir%\System.log  %System%\operaprefs_fixed.ini  %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.  default\user.js  %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.  default\searchplugins\webvolta.xml  
  5. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.