Backdoor.Win32.Agent.bhyr

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE-EXE файл). Имеет размер 107170 байт. Написана на C++.

MD5: 62daa0d7a49f1338513759b79622489f
SHA1: ede54613de2c21244c7849759c4bf82f1b7d827e


Деструктивная активность

При запуске бэкдор извлекает из своего тела файл и сохраняет его под следующим именем:

%SystemDrive%\Documents and Settings\Local User\lss.dll
Данный файл имеет размер 17916481 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Agent.bhyr.

Далее бэкдор создает службу с именем «360svc» (отображаемое имя службы «Serial Number Service»), а также создает следующие ключи системного реестра:

[HKLM\System\ControlSet001\Services\360svc]  "Description"="might not be down loaded to the device."  "IsalouentlMdl"="%Original Filename%"    [HKLM\System\ControlSet001\Services\360svc\Parameters]  "ServiceDll"="%SystemDrive%\Documents and Settings\Local User\lss.dll"  
Также бэкдор добавляет в конец списка значения следующего ключа системного реестра строку с именем созданной службы «360svc»:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]  "netsvcs"
После этого бэкдор запускает созданную службу. Это приведет к запуску извлеченной библиотеки в адресном пространстве системного процесса «svchost.exe».

При запуске библиотека выполняет следующие действия:

  • получает оригинальное имя бэкдора путем чтения ключа реестра:
    [HKLM\System\ControlSet001\Services\360svc]  "IsalouentlMdl"  
  • удаляет оригинальный файл бэкдора.
  • получает доступ к пользовательскому рабочему столу, буферу обмена, вводу информации.
  • осуществляет сетевое взаимодействие и обмен информацией со следующим хостом:
    moyu***cp.net
    На момент создания описания хост не отвечал.
  • создает ключ системного реестра:
    [HKLM\System\CurrentControlSet\Services\360svc]  "Type"="288"  
    Библиотека имеет функционал позволяющий загружать на компьютер пользователя файлы по полученным ссылкам и запускать их, а также внедрять код в адресное пространство других процессов.

При работе бэкдор создает уникальный идентификатор с именем «YuAnk Update».


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл бэкдора, если он существует. Его расположение на зараженном компьютере можно установить прочитав значение следующего ключа системного реестра:
    [HKLM\System\ControlSet001\Services\360svc]  "IsalouentlMdl"  
  2. Остановить службу с именем «Serial Number Service».
  3. Удалить ветки системного реестра и все ключи в них:
    [HKLM\System\ControlSet001\Services\360svc]  [HKLM\System\CurrentControlSet\Services\360svc]  
  4. Удалить строку «360svc» из списка в значении следующего ключа системного реестра:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]  "netsvcs"  
  5. Удалить файл:
    %SystemDrive%\Documents and Settings\Local User\lss.dll
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.