Бекдор, выполняющий деструктивные действия на компьютере пользователя.
Инсталляция
Функционал вредоносной программы зависит от опций, заданных при её генерации.
После запуска троянец производит сравнение своего имени со строкой "IEXPLORE.EXE". Если вредоносный код не расположен внутри зараженного процесса, то выполняются следующие действия.
Бекдор получает букву логического диска (%SysChar%), на котором расположен системный каталог Windows. Используя эту букву, троян формирует такую строку:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Далее производится сравнение имени запущенной программы с данной строкой.
Если имена не совпали, происходит инсталляция вредоносной программы в систему; в противном случае бекдор переходит к деструктивной деятельности.
Процесс инсталляции заключается в следующем. Создается копия файла вредоносной программы с именем "Ahntdce.exe" в папке
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe
Если такой файл уже существует, то перед копированием он удаляется. Скопированному файлу устанавливаются файловые атрибуты "только чтение" и "системный".
После этого производится проверка семейства, к которому относится текущая ОС, что определяет метод регистрации автозапуска копии вредоносной программы.
Для семейства Windows NT выполняется создание системной службы, которая видна в списке служб под именем
"AhnLab Tdce Scheduler"
Запускается автоматически вместе с системой и является интерактивной службой.
Для семейства Windows 9X выполняется регистрация автозапуска в реестре:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Ahntdce.exe" = "%SysChar%:\Program Files\Common Files\
Microsoft Shared\MSINFO\Ahntdce.exe"
Далее (независимо от типа ОС) происходит запуск копии вредоносной программы.
Затем в каталоге с копией бекдора создается и запускается пакетный файл командного интерпретатора с именем "Delet.bat", выполняющий удаление оригинального файла вируса и самого себя:
%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Delet.bat
Деструктивная активность
Если вредоносная программа обнаружила, что она является установленной копией, производится вызов браузера Internet Explorer:
%SysChar%:\Program Files\Internet Explorer\IEXPLORE.EXE
Выполняется считывание в память вирусного файла, его корректировка и внедрение в процесс "IEXPLORE.EXE" целиком.
После чего бекдор проверяет наличие сети, и если она доступна, производит анализ Internet-адреса, заданного в коде вредоносной программы. Если это ссылка на файл, то происходит его чтение и получение строки, в которой будут находиться имя сервера и порт. Либо имя сервера и порт могут быть заданы изначально. В данном случае это:
sx.code***.org:8080
Далее устанавливается соединение с этим удаленным сервером.
Бекдор осуществляет формирование строки, содержащей информацию о компьютере пользователя:
%SomeString1%%IsCaptureDriver%%ComputerName%
%DefaultNetworkPassword%%OsName%%CpuSpeed% MHz
%MemorySize%MB%SomeString2%%SomeString3%
Строка эта зашифровывается и отправляется на удаленный сервер.
После создается поток, в котором происходит прослушивание команд, поступающих с сервера.
Вредоносной программой может быть устанавлен перехват оконных сообщений для ведения клавиатурного лога, создание снимков экрана.
Бекдор может изменять домашнюю страницу браузера:
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"
Есть опасность того, что троянец разрешит запуск терминалов для получения удаленного доступа компьютеру пользователя:
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0x00000000
Также Backdoor.Win32.Hupigon.cpu имеет возможность получать список процессов, завершать выбранный процесс, производить поиск файлов, получать список файлов и передавать указанные файлы, создавать и удалять указанные файлы, загружать дополнительные модули и работать с ними и многое другое.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале