Backdoor.Win32. HareBot.ho
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.
Инсталляция
После запуска бэкдор копирует свое тело в следующие файлы:
%System%\ms18_word.exe
%USERPROFILE%\ms18_word.exe
Для автоматического запуска созданных копий при каждом следующем старте системы бэкдор создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%System%\ms18_word.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%USERPROFILE%\ms18_word.exe"
Далее для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del <полный путь к оригинальному файлу бэкдора> >> NUL
После этого бэкдор завершает свою работу.
Деструктивная активность
После запуска бэкдор запускает экземпляр процесса "%System%\svchost.exe" и внедряет в его адресное пространство исполняемый код, реализующий описанный ниже функционал.
В цикле через каждые 20 секунд выполняется поочередное соединение со следующими удаленными хостами:
69.****.186
97.****.227
69.****.170
72.****.117
74.****.82
74.****.42
92.****.118
fire****e.com
fuc****ebs.com
ani****ut.cn
После соединения на очередной хост отправляется запрос следующего вида:
GET
/40E8001430303030303030303030303030303030303031306
C0000014466000000007600000642EB000530F3C3D4E2
HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Host: mg****06k.com Connection: Keep-Alive
В ответ на посланный запрос бэкдор получает идентификатор команды, в зависимости от которого могут выполняться следующие действия:
* загрузка файлов по полученным от злоумышленника ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя как
%Temp%\BN<
где
* Получение данных от злоумышленника и внедрение их в качестве исполняемого кода в адресное пространство экземпляра процесса "svchost.exe".
Цифровые следы - ваша слабость, и хакеры это знают.