Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.
Инсталляция
При запуске троянец инсталлирует компоненты Visual Basic в системный каталог Windows («%System%»):
MSINET.OCX
regobj.dll
SocketX.DLL
SocketX.OCX
Вирус ищет в системе следующие процессы:
*firewall*.exe *zonealarm*.exe *zlclient*.exe frw.exe nc2000.exe jammer.exe cpd.exe comsocks.exe Smc.exe iamapp.exe persfw.exe pfwwadmin.exe Trojan Guarder.exe looknstop.exe Lnscfg.exe aports.exe PLManager.exe PLService.exe awpta.exe UpPDB.exe Commview.dll Anti-Virus&Trojan.exe LinkFerret.Exe ItCanNet.exe PRT.EXE NMain.exe netscanpro.exe Tcpview.exe tcpvcon.exe Anti-Virus&Spyware.exe Armor2net.exe fwsrv.exe sppfw.exe AlertWall.exe MPF.exe kpf4ss.exe kpf4gui.exe
Данный бэкдор также производит поиск окон с заголовками:
firewall ZoneAlarm Net-Commando Jammer ComSocks SPF AtGuard Trojan Guarder Active Ports PortsLock AWPTA CommView LinkFerret Network Monitor ItCan.Net Monitor Net2112 TCPRT TSCAN PRO tcpview Anti-Virus&Trojan Anti-Virus&Spyware AlertWall SafeZone
В случае обнаружения перечисленных процессов и окон троянская программа прерывает процесс инсталляции.
В противном случае бэкдор регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DSS" = "<путь к исполняемому файлу троянца>"
Таким образом, при каждом последующем старте Windows автоматически запускает файл троянца.
Деструктивная активность
Вирус открывает произвольный порт и ожидает команд от злоумышленника. Последний имеет возможность осуществлять следующие действия:
* загружать и запускать приложения;
* отображать различные сообщения на экране компьютера;
* добавлять записи в список хостов — «%System%\drivers\etc\hosts»;
* скачивать файлы со следующих URL:
www.freeiteducation.com www.sms-networks.com www.clickonteens.com www.custombabes.com www.hackology.com www.dataserverfx.com www.dfhdjkhskjdfhkje.com
Разбираем кейсы, делимся опытом, учимся на чужих ошибках