Backdoor.Win32. Rbot.bni

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 50176 байт. Написана на Ассемблере.

Инсталляция

После запуска, используя имя своего оригинального файла и путь к нему, троянец генерирует в системном реестре GUID, который служит для регистрации вируса в системе:

  [HKCR\CLSID\{%GUID%}]
  "(default)" = "<случайный набор символов>"
  
  [HKCR\CLSID\{%GUID%}\LocalServer32]
  "(default)" = "<путь к файлу бэкдора>"

Также при запуске бэкдор производит копирование своего тела в системный каталог Windows под именем «irdvxc.exe»:

%System%\irdvxc.exe

Далее с интервалом в 2 секунды созданная копия запускается с параметрами командной строки в указанном порядке:

%System%\irdvxc.exe /installservice
%System%\irdvxc.exe /start

При этом копия бэкдора также создает записи в системном реестре, используя новый путь к вредоносному файлу:

[HKCR\CLSID\{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}]
"(Default)" = "svxqqbkhrbsqsjhq"

[HKCR\CLSID\{C9FCA82B-D6D4-EC14-6B56-609ADDA29FB7}\LocalServer32]
"(Default)" = "%System%\irdvxc.exe"

При выполнении команды "/installservice" с помощью «Диспетчера служб» Windows происходит регистрация файла бэкдора в виде системной службы, которая запускается атоматически при загрузке системы.

Имя службы: "MSDisk"; полное имя службы: "Network helper Service"; описание службы: "Network service for disk management requests".

При регистрации данной службы в реестре создается следующий ключ:

[HKLM\System\CurrentControlSet\Services\MSDisk]

При выполнении команды "/start" происходит запуск зарегистрированной службы.

Также бэкдор создает уникальный идентификатор "jhdgcjhasgdc09890gjasgcjhg2763876uyg3fhg" для определения своего присутствия в системе.

Деструктивная активность

Каждые 50 миллисекунд бэкдор создает потоки, через которые (в случае доступности сети) выполняется соеднение с серверами:

www.starman.ee
www.if.ee

После 256 произведенных соединений, в случае сообщения каким-либо сервером об ошибке, связанной с временной недоступностью ресурса, происходит полусекундная пауза в создании соединений.

Бэкдор размножается при помощи использования уязвимости Microsoft Windows DCOM RPС (MS03-026).

Вирус совершает процедуры отбора IP-адресов для атаки и, в случае наличия на атакуемом компьютере указанной уязвимости, запускает в его системе вредоносный код.

В противном случае бэкдор производит попытки подбора следующих паролей для подключения под логинами Administrator и Admin:

Admin
root
asdfgh
password
00
000
0000
00000
000000
0000000
00000000
1
12
123
1234
12345
123456
1234567
12345678
123456789
secret
secure
security
setup
shadow
shit
sql
super
sys
system
abc123
access
adm
alpha
anon
anonymous
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
X
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
new
newpass
nick
nobody
nopass
oracle
pass
passwd
server
poiuytre
private
public
qwerty
random
real
remote
ruler
telnet
temp
test
test1
test2
visitor
windows

В случае успешного подключения к атакуемой машине троянец копирует свой исполняемый файл в системный каталог Windows и запускает его на исполнение.