Backdoor.Win32. Ruskill.y

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 143872 байта. Написана на С++.

Инсталляция

После запуска вредонос перемещает свое оригинальное тело и сохраняет под следующим именем:

%Documents and Settings%\%Current User%\Application Data\<rnd>.exe

где rnd – случайных 6 латинских букв. Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>"="%Documents and Settings%\%Current User%\
Application Data\<rnd>.exe"

name="doc3">

Деструктивная активность

Далее вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "aciCty21CAjoSS8o". Также выполняет внедрение своего вредоносного кода в адресное пространство процесса "explorer.exe" и всех запущенных системных процессов. Для скрытия своей вредоносной активности, а также для предотвращения своего удаления из системы бэкдор устанавливает системные перехватчики для следующих функций:

NtEnumerateValueKey
NtQueryDirectoryFile
CopyFileA
CopyFileW
DeleteFileA
DeleteFileW
MoveFileA
MoveFileW
CreateFileA
CreateFileW
Send
GetAddrInfoW
HttpSendRequestA
HttpSendRequestW
InternetWriteFile
DnsQuery_A
DnsQuery_W
PR_Write
URLDownloadToFileA
URLDownloadToFileW
RegCreateKeyExA
RegCreateKeyExW

Вредонос блокирует доступ к вэб-ресурсам доменные адреса которых содержат в себе строки:

webroot.
fortinet.
virusbuster.nprotect.
gdatasoftware.
virus.
precisesecurity.
lavasoft.
heck.tc
emsisoft.
onlinemalwarescanner.
onecare.live.
f-secure.
bullguard.
clamav.
pandasecurity.
sophos.
malwarebytes.
sunbeltsoftware.
norton.
norman.
mcafee.
Symantec
comodo.
avast.
avira.
avg.
bitdefender.
eset.
kaspersky.
trendmicro.
iseclab.
virscan.
garyshood.
viruschief.
jotti.
threatexpert.
novirusthanks.
virustotal.

Далее бэкдор подключается к IRC-серверу злоумышленника для получения дополнительных команд. Вредонос выполняет подключение к управляющему серверу со следующими параметрами: IP-адрес:

173.***.103.19

Порт:

8888

Ник:

n{US|XPa}<rnd>

Пользователь:

<rnd>

Канал:

#DarkSons#

где rnd – случайные латинские буквы. После подключения, бэкдор сразу получает команду загрузки обновленной версии вредоноса и ссылки, по которым будет производиться загрузка. На момент создания описания вредонос загружал файлы по следующим ссылкам:

http://pictur***eave.com/67cf27c1deb85bc972606e13390b3c2c.exe
http://img1***erosh.com/2011/05/09/134130792.gif
http://movie***boost.in/install.52161.exe

которые сохраняются соответственно под следующими именами:

%Documents and Settings%\%Current User%\Application Data\
<rnd>.exe –обновленная версия вредоноса, имеет размер 188416 
байт и детектируется антивирусом Касперского как 
Trojan.Win32.Powp.pwt.
%Documents and Settings%\%Current User%\Application Data\1.tmp – 
имеет размер 84480 байт и детектируется антивирусом Касперского 
как Trojan.Win32.Jorik.Skor.acz.

%Documents and Settings%\%Current User%\Application Data\2.tmp – 
имеет размер 71168 байт.

Далее загруженные файлы запускаются на выполнение. Вредонос собирает системную информацию, а именно:

• IP адрес и месторасположение зараженной системы;
• Локаль;
• Тип ОС;
• Уровень привилегий текущего пользователя.

IP-адрес и месторасположение системы троянец определяет путем обращения к следующему URL:

http://api.wi***ania.com/

Для приема и передачи параметров создает именованный канал с именем:

\\.\pipe\OgarD_ipc

Пытается выполнить подключение по следующим URL:

haso***tlgg.com
tama**anslate-google-cache.com
mate***ukatlgg.com
magazin***voddebila.com
ngrbck***adi-ga-van.info
fant***ervebeer.com
ngrbc***uristicka-agencija-reality.co.cc
ngrbck***aintgroup.co.za

Также, в зависимости от полученных команд с сервера злоумышленника, бэкдор может выполнять следующий деструктивный функционал:

• Модифицировать системные файлы:

  regsvr32.exe
  cmd.exe
  rundll32.exe
  regedit.exe
  verclsid.exe
  ipconfig.exe
  

• Похищать конфиденциальную информацию пользователя, которая сохраняется в браузерах "Firefox" и "MS Internet Explorer". Похищать логины и пароли пользователя для доступа к следующим вэб-ресурсам:

  OfficeBanking
  LogMeIn
  Megaupload
  FileServe
  Twitter
  cPanel
  AlertPay
  Moneybookers
  Runescape
  DynDNS
  NoIP
  Steam
  Hackforums
  Facebook
  Yahoo
  Microsoft Live
  GMX
  Gmail
  Fastmail
  BigString
  AOL
  YouTube
  PayPal
  

• Выполнять атаку типа отказ от обслуживания DDoS (Distributed Denial of Service) используя следующие методы:

  HTTP - флуд
  UDP – флуд
  SYN – флуд
  

  Тип атаки и адрес жертвы задается злоумышленником.
• Посещать заданные злоумышленником веб-ресурсы.
• Загружать по заданным ссылкам файлы и запускать их на выполнение. Загруженные файлы сохраняются под именем:

  %Documents and Settings%\%Current User%\Application 
  Data\<имя_временного_файла>.tmp
  

• Заражать вэб-страницы на FTP и HTTP сервере пользователя, добавляя в страницы скрытый фрейм (iframe).
• Выполнять манипуляции с DNS запросами для перенаправления и блокировки доступа к заданным сайтам.
• Создавать SOCKS-прокси сервер на случайном TCP порте.
• Распространятся на съемные носители, а также через IM клиенты.

Распространение

После подключения съемного носителя вредонос перехватывает сообщение системы о нахождении нового устройства и выполняет заражение съемного носителя – копирует свой исполняемый файл под именем:

<X>:\Recycler\9fddc8d5.exe

где X – буква логического диска съемного носителя. Также помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Файлам устанавливается атрибут "Скрытый".

Также вредонос выполняет распространение вредоносных файлов, используя программы мгновенного обмена сообщениями - MSN, Pidgin, Xchat, mIRC. Вредонос получает от злоумышленника ссылку на вредоносный файл, а также сообщение, которое будет рассылаться всем контактам пользователя. Бэкдор получает сообщение такого вида:

hehhe!
http://my***book-album.tk/profile-pic001634.jpg