Security Lab

Backdoor.Win32.Prexot.a

Backdoor.Win32.Prexot.a

Троянская программа со встроенной функцией удаленного управления компьютером.

Троянская программа со встроенной функцией удаленного управления компьютером. Содержит в себе функции сетевого червя.

Представляет собой Windows PE-EXE файл. Имеет размер 130023 байт. Упакован CryptExe.

Инсталляция

После запуска бэкдор копирует себя в корневой каталог Windows со следующими именами:

  %Windir%\msdef.exe
  %Windir%\services.exe
  

Регистрирует себя в ключе автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "RPCser32g"="%Windir%\services.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл бэкдора.

Также бэкдор изменяет следующий ключ системного реестра с целью блокировки сервиса Shared Access:

  [HKLM\System\CurrentControlSet\Services\SharedAccess]
   "Start"="4"
  

Также изменяет следующие ключи реестра:

  [HKCU\Software\Microsoft\Internet Explorer]
   "IEPgfsgdc"="1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies]
   "DisableRegistryTools"="0"
  

Распространение через интернет

Prexot.a запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то бэкдор, используя уязвимость Plug and Play или LSASS, запускает на удаленной машине свой код.

Удаленное администрирование

Prexot.a открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Прочее

Prexot.a изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:

  
  127.0.0.1 avp.com
  127.0.0.1 ca.com
  127.0.0.1 customer.symantec.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 downloads-eu1.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads2.kaspersky-labs.com
  127.0.0.1 downloads3.kaspersky-labs.com
  127.0.0.1 downloads4.kaspersky-labs.com
  127.0.0.1 f-secure.com
  127.0.0.1 kaspersky-labs.com
  127.0.0.1 kaspersky.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 microsoft.com
  127.0.0.1 my-etrust.com
  127.0.0.1 nai.com
  127.0.0.1 networkassociates.com
  127.0.0.1 oxyd.fr
  127.0.0.1 pandasoftware.com
  127.0.0.1 rads.mcafee.com
  127.0.0.1 secure.nai.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 sophos.com
  127.0.0.1 symantec.com
  127.0.0.1 t35.com
  127.0.0.1 t35.net
  127.0.0.1 trendmicro.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 viruslist.com
  127.0.0.1 virustotal.com
  127.0.0.1 www.avp.com
  127.0.0.1 www.ca.com
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.grisoft.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.microsoft.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.oxyd.fr
  127.0.0.1 www.pandasoftware.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.t35.com
  127.0.0.1 www.t35.net
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.viruslist.com
  127.0.0.1 www.virustotal.com

Также выгружает из памяти процессы, имена которых попадают в следующий список:

  _AVP32.EXE
  _AVPCC.EXE
  _AVPM.EXE
  ATUPDATER.EXE
  ATUPDATER.EXE
  AUPDATE.EXE
  AUTODOWN.EXE
  AUTOTRACE.EXE
  AUTOUPDATE.EXE
  AVPUPD.EXE
  AVWUPD32.EXE
  AVXQUAR.EXE
  b055262c.dll
  backdoor.rbot.gen.exe
  backdoor.rbot.gen_(17).exe
  CFIAUDIT.EXE
  dailin.exe
  DRWEBUPW.EXE
  F-AGOBOT.EXE
  GfxAcc.exe
  HIJACKTHIS.EXE
  IAOIN.EXE
  ICSSUPPNT.EXE
  ICSUPP95.EXE
  Lien Van de Kelderrr.exe
  LUALL.EXE
  MCUPDATE.EXE
  msnmsgr.exe
  msssss.exe
  NUPGRADE.EXE
  NUPGRADE.EXE
  rasmngr.exe
  RAVMOND.exe
  RB.EXE
  Systra.exe
  taskmanagr.exe
  UPDATE.EXE
  VisualGuard.exe
  wfdmgr.exe
  WIN32.EXE
  WIN32US.EXE
  WINACTIVE.EXE
  WIN-BUGSFIX.EXE
  WINDOW.EXE
  WINDOWS.EXE
  WININETD.EXE
  WININIT.EXE
  WININITX.EXE
  WINLOGIN.EXE
  WINMAIN.EXE
  WINPPR32.EXE
  WINRECON.EXE
  winshost.exe
  WINSSK32.EXE
  WINSTART.EXE
  WINSTART001.EXE
  WINTSK32.EXE
  WINUPDATE.EXE
  WKUFIND.EXE
  WNAD.EXE
  WNT.EXE
  wowpos32.exe
  WRADMIN.EXE
  WRCTRL.EXE
  wuamga.exe
  wuamgrd.exe
  WUPDATER.EXE
  WUPDT.EXE
  WYVERNWORKSFIREWALL.EXE
  XPF202EN.EXE
  ZAPRO.EXE
  ZAPSETUP3001.EXE
  ZATUTOR.EXE
  ZONALM2601.EXE
  ZONEALARM.EXE
  

Скачивает со следующих адресов файл с именем upx.exe (Антивирус Касперского детектирует данный файл как Backdoor.Win32.Surila.ak):

  http://***google.biz
  http://4***scripts.com
  http://***ogle.com

После чего сохраняет этот файл на зараженном компьютере и запускает на исполнение.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.