Security Lab

Backdoor.Win32. IRCBot.abc

Backdoor.Win32. IRCBot.abc

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE EXE-файл). Имеет размер 32704 байта.

Инсталляция

При инсталляции бэкдор запускает процесс «svchost.exe» и внедряет в него свой код.

Исполняемый файл вируса копируется в системную папку Windows. Имя файла-копии формируется следующим образом: из системной папки берется произвольный файл, в конец его имени добавляются случайным образом выбранная строчная буква латинского алфавита и расширение «.exe».

С целью автоматического запуска при последующем старте ОС троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Wupdate" = "<путь до исполняемого файла бэкдора>"

Деструктивная активность

На зараженной машине вредоносная программа выполняет следующие действия:

* Изменяет значение ключа системного реестра на следующее:

        [HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
        DisableRawSecurity = 1
  

* Завершает работу службы «sharedaccess».

* Похищает информацию об учетных записях Microsoft Outlook (включая пароли) из параметров ключей реестра:

        [HKLM\Software\Microsoft\Internet Account Manager\Accounts]
        SMTP Email Address
        SMTP Server
        SMTP Port
        POP3 User Name
        POP3 Server
        POP3 Port
        IMAP Port
        IMAP Server
        IMAP User Name
        HTTPMail User Name
        HTTPMail Server
  

* Похищает информацию об учетных записях Opera Mail (включая пароли).

* В файле конфигурации «<Папка с установленной Opera>\Mail\accounts.ini» читает значения параметров:

      Email
Incoming Username
Incoming Servername
Incoming Password

* Похищает содержимое файла «<Папка с установленной Opera>\profile\wand.dat».

* Получает список посещаемых пользователем интернет-сайтов.

Собранные сведения бэкдор сохраняет в файл-отчет, располагающийся во временной папке Windows. Отчет периодически отсылается на электронную почту злоумышленника.

* Подключается к IRC-серверу, используя 6667 TCP-порт, и получает от злоумышленника команды удаленного управления.

* Позволяет злоумышленнику производить атаки следующих типов:

o DDOS (c использованием ICMP-пакетов);

o IP Spoofing.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.