На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.RAdmin.t


Rootkit:  Нет
Видимые проявления:  Посторонние службы
Прослушивание порта 2106/TCP
Посторонний исполняемый файл WINDOWS\AppPatch\svchost.exe

Backdoor программа, размер 346 кб, иконка похожа на иконки изображений JPEG формата для введения пользователя в заблуждение.
В случае запуска скрытно выполняет следующие операции:
1. Извлекает в папку TEMP файл gert0.dll и загружает его
2. Создает в папке TEMP файл \ci0-temp\setup.set
3. Создает файл WINDOWS\AppPatch\rpc.sdb и запускает его
4. Удаляет файлы созданные в папке TEMP файлы \ci0-temp\setup.set и gert0.dll

Файл WINDOWS\AppPatch\rpc.sdb в свою очередь скрытно выполняет следующие операции:
1. Создает WINDOWS\AppPatch\svchost.exe,WINDOWS\AppPatch\AdmDll.dll, WINDOWS\AppPatch\raddrv.dll
2. Создает WINDOWS\system32\svchost.reg, после чего запускает системныю программу WINDOWS\regedit.exe с параметрами «/s svchost.reg», что приводит к импорту содержимого svchost.reg в реестр
3. Запускает «WINDOWS\AppPatch\svchost.exe /start»

Импорт файла svchost.reg приводит к следующим последствиям:
1. В реестре создается ключ HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin и в него импортируются настройки программы удаленного управления Remote Admin, подготовленные злоумышленником. В частности, задается порт и запрещается отображение иконки RA в трее
2. Регистрируется служба svchostrun (исполняемый файл %SystemRoot%\AppPatch\rpc.sdb) и svchostdll (исполняемый файл %SystemRoot%\AppPatch\svchost.exe /service). Для маскировки службам даются «системные» имена – «Security Support Provider» и «System Backup Service»
3. Блокирует службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)», переключая ее тип запуска на «4» (отключен)
4. Уничтожает ключи реестра, принадлежащие антивирусным программам и Firewall, в частности:
4.1 Удаляет службы и драйверы
wg3n,
WPSDRVNT,
Symantec AntiVirus,
VFILT,
OutpostFirewall,
Klif,
Klpf,
Klpid,
Symantec Core LC
4.2 Удаляет ключи реестра:
HKLM\SOFTWARE\Panda
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\WRQ
HKLM\SOFTWARE\Zone Labs
HKCU\Software\Zone Labs
4.3 Удаляет элементы автозапуска:
“Outpost Firewall"
"Zone Labs Client"
"iamapp"
"vptray"

Скрытно установленные компоненты AdmDll.dll, raddrv.dll и svchost.exe – это утилита удаленного управления Remote Admin версии 2 в чистом виде, а rpc.sdb – это троянский инсталлятор, задачей которого является установка этих компонент, их настройка и борьба с защитным ПО при помощи описанного выше REG файла. Скрытно установленный таким троянским методом Remote Admin позволяет злоумышленнику получить полный контроль над пораженным компьютером, причем антивирусы не будут находить на пораженном компьютере троянских и Backdoor программ – в данной ситуации в качестве Backdoor выступает скрытно установленный Remote Admin.
Поиск Remote Admin в данном случае усложняется тем, что у него в настройке задан нестандартный порт для обмена по сети – 2106/TCP.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.