Security Lab

Backdoor.Win32.Breplibot.b

Backdoor.Win32.Breplibot.b

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.

Представляет собой Windows PE EXE-файл размером 10240 байт. Файл упакован UPX. Размер распакованного файла — около 31 КБ.

Первоначально данный бэкдор был разослан при помощи спам-рассылки.

Инсталляция

После запуска бэкдор копирует себя в системный каталог Windows с именем $sys$drv.exe:

  %System%\$sys$drv.exe
  

Это имя позволяет вредоносной программе быть скрытой посредством ставшего широкоизвестным руткита от Sony. Сокрытие программы произойдет, только если на компьютере функционирует DRM-защита, поставляющаяся на некоторых Audio CD Sony.

После запуска бэкдор создает следующий ключ в реестре:

 
  
  [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   "$sys$drv"="$sys$drv.exe"

Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:

  
  $sys$drv.exe
  SonyEnabled
  

После чего оригинальный запускаемый файл удаляется.

Действие

Программа соединяется со следующими IRC-серверами и получает команды удаленного управления от «хозяина»:

  
  152.7.24.186
  24.210.44.45
  35.10.203.93
  67.171.67.190
  68.101.14.76

Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Также бэкдор имеет функцию обмана стандартного Windows Firewall: он прописывает себя в списке разрешенных программ, после чего его действия не могут быть заблокированы.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!