Security Lab

Backdoor.Win32. DSSdoor.c

Backdoor.Win32. DSSdoor.c

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 419969 байт. Упакована при помощи UPX. Размер распакованного файла — около 890 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец инсталлирует компоненты Visual Basic в системный каталог Windows («%System%»):

MSINET.OCX 
regobj.dll
SocketX.DLL
SocketX.OCX

Вирус ищет в системе следующие процессы:

  *firewall*.exe
  *zonealarm*.exe
  *zlclient*.exe
  frw.exe
  nc2000.exe
  jammer.exe
  cpd.exe
  comsocks.exe
  Smc.exe
  iamapp.exe
  persfw.exe
  pfwwadmin.exe
  Trojan Guarder.exe      
  looknstop.exe
  Lnscfg.exe
  aports.exe
  PLManager.exe
  PLService.exe
  awpta.exe
  UpPDB.exe
  Commview.dll
  Anti-Virus&Trojan.exe
  LinkFerret.Exe
  ItCanNet.exe
  PRT.EXE
  NMain.exe
  netscanpro.exe
  Tcpview.exe
  tcpvcon.exe
  Anti-Virus&Spyware.exe
  Armor2net.exe
  fwsrv.exe
  sppfw.exe
  AlertWall.exe
  MPF.exe
  kpf4ss.exe
  kpf4gui.exe

Данный бэкдор также производит поиск окон с заголовками:

  firewall
  ZoneAlarm
  Net-Commando
  Jammer
  ComSocks
  SPF
  AtGuard
  Trojan Guarder  
  Active Ports
  PortsLock
  AWPTA
  CommView
  LinkFerret Network Monitor
  ItCan.Net Monitor
  Net2112 TCPRT
  TSCAN PRO
  tcpview
  Anti-Virus&Trojan
  Anti-Virus&Spyware
  AlertWall
  SafeZone
  

В случае обнаружения перечисленных процессов и окон троянская программа прерывает процесс инсталляции.

В противном случае бэкдор регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DSS" = "<путь к исполняемому файлу троянца>"

Таким образом, при каждом последующем старте Windows автоматически запускает файл троянца.

Деструктивная активность

Вирус открывает произвольный порт и ожидает команд от злоумышленника. Последний имеет возможность осуществлять следующие действия:

* загружать и запускать приложения;

* отображать различные сообщения на экране компьютера;

* добавлять записи в список хостов — «%System%\drivers\etc\hosts»;

* скачивать файлы со следующих URL:

        www.freeiteducation.com
        www.sms-networks.com
        www.clickonteens.com
        www.custombabes.com
        www.hackology.com
        www.dataserverfx.com
        www.dfhdjkhskjdfhkje.com

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!