Security Lab

Backdoor.Win32. VanBot.bk

Backdoor.Win32. VanBot.bk

Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC.

Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC. Является приложением Windows (PE EXE-файл). Имеет размер 207872 байта.

Инсталляция

При инсталляции бэкдор копирует свой исполняемый файл в системный каталог Windows:

  %System%\explorewin.exe
  

После этого оригинальный файл запуска удаляется.

С целью автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Explorer" = "%System%\explorewin.exe"

Деструктивная активность

Бэкдор завершает процессы, главные окна которых содержат строки:

  OLLYDBG
  File Monitor
  Registry Monitor

Троянец пытается установить соединение с IRC-сервером злоумышленника. Редирект на сервер осуществляется через следующие сайты:

lol.godhatesfags.com:1863
is.wayne.brady.gonna.have.to.chokeabitch.us:8080
x.anti-viral.us:8080
x.rofflewaffles.us:8080

При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим информацию о зараженной системе.

Посылая вредоносной программе команды через IRC, злоумышленник может выполнять следующие действия:

      * производить в сети пользователя поиск компьютеров, имеющих уязвимость 
переполнения буфера в системной службе MS06-040 (подробнее об этом см. здесь); * распространять бэкдор на машины в сети, имеющие указанную уязвимость; * загружать на компьютер пользователя с указанных злоумышленником URL и запускать
на исполнение различные файлы; * создавать SOCKS4 прокси-сервер на указанном TCP-порте; * создавать HTTP прокси-сервер на указанном TCP-порте; * запускать FTP-сервер, при подключении к которому появляется возможность получить
доступ к файлам на жестком диске.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!