Троянская программа со встроенной функцией удаленного управления компьютером.
Представляет собой Windows PE-EXE файл. Имеет размер 130023 байт. Упакован CryptExe.
Инсталляция
После запуска бэкдор копирует себя в корневой каталог Windows со следующими именами:
%Windir%\msdef.exe %Windir%\services.exe
Регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "RPCser32g"="%Windir%\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл бэкдора.
Также бэкдор изменяет следующий ключ системного реестра с целью блокировки сервиса Shared Access:
[HKLM\System\CurrentControlSet\Services\SharedAccess] "Start"="4"
Также изменяет следующие ключи реестра:
[HKCU\Software\Microsoft\Internet Explorer] "IEPgfsgdc"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies] [HKLM\Software\Microsoft\Windows\CurrentVersion\policies] "DisableRegistryTools"="0"
Распространение через интернет
Prexot.a запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то бэкдор, используя уязвимость Plug and Play или LSASS, запускает на удаленной машине свой код.
Удаленное администрирование
Prexot.a открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.
Прочее
Prexot.a изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 oxyd.fr 127.0.0.1 pandasoftware.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 t35.com 127.0.0.1 t35.net 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 virustotal.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.oxyd.fr 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.t35.com 127.0.0.1 www.t35.net 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.virustotal.com
Также выгружает из памяти процессы, имена которых попадают в следующий список:
_AVP32.EXE _AVPCC.EXE _AVPM.EXE ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE b055262c.dll backdoor.rbot.gen.exe backdoor.rbot.gen_(17).exe CFIAUDIT.EXE dailin.exe DRWEBUPW.EXE F-AGOBOT.EXE GfxAcc.exe HIJACKTHIS.EXE IAOIN.EXE ICSSUPPNT.EXE ICSUPP95.EXE Lien Van de Kelderrr.exe LUALL.EXE MCUPDATE.EXE msnmsgr.exe msssss.exe NUPGRADE.EXE NUPGRADE.EXE rasmngr.exe RAVMOND.exe RB.EXE Systra.exe taskmanagr.exe UPDATE.EXE VisualGuard.exe wfdmgr.exe WIN32.EXE WIN32US.EXE WINACTIVE.EXE WIN-BUGSFIX.EXE WINDOW.EXE WINDOWS.EXE WININETD.EXE WININIT.EXE WININITX.EXE WINLOGIN.EXE WINMAIN.EXE WINPPR32.EXE WINRECON.EXE winshost.exe WINSSK32.EXE WINSTART.EXE WINSTART001.EXE WINTSK32.EXE WINUPDATE.EXE WKUFIND.EXE WNAD.EXE WNT.EXE wowpos32.exe WRADMIN.EXE WRCTRL.EXE wuamga.exe wuamgrd.exe WUPDATER.EXE WUPDT.EXE WYVERNWORKSFIREWALL.EXE XPF202EN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZONALM2601.EXE ZONEALARM.EXE
Скачивает со следующих адресов файл с именем upx.exe (Антивирус Касперского детектирует данный файл как Backdoor.Win32.Surila.ak):
http://***google.biz http://4***scripts.com http://***ogle.com
После чего сохраняет этот файл на зараженном компьютере и запускает на исполнение.