Backdoor.Win32. VanBot.bk

Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC. Является приложением Windows (PE EXE-файл). Имеет размер 207872 байта.

Инсталляция

При инсталляции бэкдор копирует свой исполняемый файл в системный каталог Windows:

  %System%\explorewin.exe
  

После этого оригинальный файл запуска удаляется.

С целью автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Explorer" = "%System%\explorewin.exe"

Деструктивная активность

Бэкдор завершает процессы, главные окна которых содержат строки:

  OLLYDBG
  File Monitor
  Registry Monitor

Троянец пытается установить соединение с IRC-сервером злоумышленника. Редирект на сервер осуществляется через следующие сайты:

lol.godhatesfags.com:1863
is.wayne.brady.gonna.have.to.chokeabitch.us:8080
x.anti-viral.us:8080
x.rofflewaffles.us:8080

При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим информацию о зараженной системе.

Посылая вредоносной программе команды через IRC, злоумышленник может выполнять следующие действия:

      * производить в сети пользователя поиск компьютеров, имеющих уязвимость 
      переполнения буфера в системной службе MS06-040 (подробнее об этом см. здесь);
      * распространять бэкдор на машины в сети, имеющие указанную уязвимость;
      * загружать на компьютер пользователя с указанных злоумышленником URL и запускать 
      на исполнение различные файлы;
      * создавать SOCKS4 прокси-сервер на указанном TCP-порте;
      * создавать HTTP прокси-сервер на указанном TCP-порте;
      * запускать FTP-сервер, при подключении к которому появляется возможность получить 
      доступ к файлам на жестком диске.