Троянская программа удаленного администрирования, позволяющая злоумышленнику производить операции на компьютере пользователя при помощи управления по протоколу IRC.
Инсталляция
При инсталляции бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%\explorewin.exe
После этого оригинальный файл запуска удаляется.
С целью автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Explorer" = "%System%\explorewin.exe"
Деструктивная активность
Бэкдор завершает процессы, главные окна которых содержат строки:
OLLYDBG File Monitor Registry Monitor
Троянец пытается установить соединение с IRC-сервером злоумышленника. Редирект на сервер осуществляется через следующие сайты:
lol.godhatesfags.com:1863
is.wayne.brady.gonna.have.to.chokeabitch.us:8080
x.anti-viral.us:8080
x.rofflewaffles.us:8080
При успешном соединении производится регистрация пользователя на IRC-сервере под именем, содержащим информацию о зараженной системе.
Посылая вредоносной программе команды через IRC, злоумышленник может выполнять следующие действия:
* производить в сети пользователя поиск компьютеров, имеющих уязвимость
переполнения буфера в системной службе MS06-040 (подробнее об этом см. здесь); * распространять бэкдор на машины в сети, имеющие указанную уязвимость; * загружать на компьютер пользователя с указанных злоумышленником URL и запускать
на исполнение различные файлы; * создавать SOCKS4 прокси-сервер на указанном TCP-порте; * создавать HTTP прокси-сервер на указанном TCP-порте; * запускать FTP-сервер, при подключении к которому появляется возможность получить
доступ к файлам на жестком диске.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках