Троянская программа, позволяющая злоумышленнику удалено выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.
Троянская программа, позволяющая злоумышленнику удалено выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.
Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер около 16 КБ, упакован при помощи WinUpack, распакованный размер около 147 КБ. Написана на языке программирования C.
Бэкдор инсталлируется в систему при помощи другой вредоносной программы.
Деструктивная активность
Из функции выполняющейся при загрузке библиотеки с кодом троянца в память (DllMain) вызывается процедура, создающая поток, в котором выполняется основной функционал троянца.
Сразу после создания потока в нем происходит загрузка дополнительных библиотек, используемых бекдором и расшифровка зашифрованных строк. С периодичностью в 30 секунд проверяется статус подключения к интернету. Если было обнаружено наличие доступа в интернет, то каждые 10 секунд делается попытка соединения с хостом SunnyDoll.***2.org.
При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим в себе информацию о зараженной системе. Формируемое имя может включать такую информацию о системе пользователя как: наличие клиента mIRC, драйверов захвата видеоизображения, версии операционной системы Windows и т.д.
После регистрации производится ожидание управляющих команд злоумышленника. Ниже приведен список, содержащий некоторые команды и описание действий выполняемых вредоносной программой при их получении:
Информационные
version Версия вируса
selfpath Строка с путем месторасположения вируса
ipis IP-адресс зараженого компьютера пользователя
uptime Время работы системы пользователя
threads Список запущеных процессов
Управляющие
download Загрузка указанного файла
ftp.download Загрузка файла по протоколу FTP
get Получение указаного файла с компьютера пользователя
httpproxy Запуск прокси-сервера на компьютере пользователя
httpproxystop Остановка запущеного прокси-сервера
killthread Завершение указаного процесса
logoff Завершение сеанса работы системы
poweroff Выключение компьютера пользователя
reboot Перегрузка системы
remove Удаление вируса с компьютера пользователя
SEND Загрузка файла на компьютер пользователя в системный каталог Windows (%System%) под указанным именем
shutdown Завершение работы системы
update Обновление вируса
visit Посещение указанного интернет-ресурса
winexec Выполнение указаного файла на компьютере пользователя
Путем использования HTTP прокси-сервера злоумышленник может выполнять операции на других компьютерах, а идентифицироваться они будут как выполняемые от имени зараженного хоста.