12.01.2007
Backdoor.Win32.RAdmin.t
Backdoor программа, размер 346 кб, иконка похожа на иконки изображений JPEG формата для введения пользователя в заблуждение.
В случае запуска скрытно выполняет следующие операции:
1. Извлекает в папку TEMP файл gert0.dll и загружает его
2. Создает в папке TEMP файл \ci0-temp\setup.set
3. Создает файл WINDOWS\AppPatch\rpc.sdb и запускает его
4. Удаляет файлы созданные в папке TEMP файлы \ci0-temp\setup.set и gert0.dll
Файл WINDOWS\AppPatch\rpc.sdb в свою очередь скрытно выполняет следующие операции:
1. Создает WINDOWS\AppPatch\svchost.exe,WINDOWS\AppPatch\AdmDll.dll, WINDOWS\AppPatch\raddrv.dll
2. Создает WINDOWS\system32\svchost.reg, после чего запускает системныю программу WINDOWS\regedit.exe с параметрами «/s svchost.reg», что приводит к импорту содержимого svchost.reg в реестр
3. Запускает «WINDOWS\AppPatch\svchost.exe /start»
Импорт файла svchost.reg приводит к следующим последствиям:
1. В реестре создается ключ HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin и в него импортируются настройки программы удаленного управления Remote Admin, подготовленные злоумышленником. В частности, задается порт и запрещается отображение иконки RA в трее
2. Регистрируется служба svchostrun (исполняемый файл %SystemRoot%\AppPatch\rpc.sdb) и svchostdll (исполняемый файл %SystemRoot%\AppPatch\svchost.exe /service). Для маскировки службам даются «системные» имена – «Security Support Provider» и «System Backup Service»
3. Блокирует службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)», переключая ее тип запуска на «4» (отключен)
4. Уничтожает ключи реестра, принадлежащие антивирусным программам и Firewall, в частности:
4.1 Удаляет службы и драйверы
wg3n,
WPSDRVNT,
Symantec AntiVirus,
VFILT,
OutpostFirewall,
Klif,
Klpf,
Klpid,
Symantec Core LC
4.2 Удаляет ключи реестра:
HKLM\SOFTWARE\Panda
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\WRQ
HKLM\SOFTWARE\Zone Labs
HKCU\Software\Zone Labs
4.3 Удаляет элементы автозапуска:
“Outpost Firewall"
"Zone Labs Client"
"iamapp"
"vptray"
Скрытно установленные компоненты AdmDll.dll, raddrv.dll и svchost.exe – это утилита удаленного управления Remote Admin версии 2 в чистом виде, а rpc.sdb – это троянский инсталлятор, задачей которого является установка этих компонент, их настройка и борьба с защитным ПО при помощи описанного выше REG файла. Скрытно установленный таким троянским методом Remote Admin позволяет злоумышленнику получить полный контроль над пораженным компьютером, причем антивирусы не будут находить на пораженном компьютере троянских и Backdoor программ – в данной ситуации в качестве Backdoor выступает скрытно установленный Remote Admin.
Поиск Remote Admin в данном случае усложняется тем, что у него в настройке задан нестандартный порт для обмена по сети – 2106/TCP.