Security Lab

Backdoor.Win32.Surila.k

Backdoor.Win32.Surila.k

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.

Инсталляция

При запуске копирует себя в системный каталог Windows под именем "dx32cxlp.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "devsec"="%System%\dx32cxlp.exe"

Создаёт ключ реестра с произвольным значением:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\mutexname]

"Троянец" копирует себя в папку StartUp и создаёт файл "dx32cxconf.ini" в системном каталоге Windows.

Устанавливает себя как сервис "dx32cxel". Путь к файлу: "%System%\dx32cxel.sys".

Действие

Запускает proxy-сервер для HTTP- и SMTP-трафика на произвольном порту.

Пытается соединиться со следующими IRC-серверами для получения команд:

193.19.227.24:4661
  205.209.176.220:4661
  207.44.142.33:4242
  207.44.206.27:4661
  207.44.222.47:4661
  211.214.161.107:4661
  211.233.41.235:4661
  212.199.125.36:8080
  213.158.119.104:4661
  216.127.94.107:4661
  218.78.211.62:4661
  4.246.18.98:4661
  62.241.53.15:4242
  62.241.53.16:4242
  62.241.53.17:4242
  62.241.53.2:4242
  62.241.53.4:4242
  64.246.16.11:4661
  64.246.54.12:3306
  65.75.161.70:4661
  66.111.43.80:4242
  66.90.68.2:6565
  66.98.144.100:4242
  66.98.192.99:3306
  67.15.18.45:3306
  67.15.18.57:3306
  69.50.187.210:4661
  69.50.228.50:4646
  69.57.132.8:4661
  80.64.179.46:4242
  81.23.250.167:4242
  81.23.250.169:4242

Прочее

Пытается сделать невозможным скачивание обновлений антивирусных баз и запретить доступ к сайтам компаний-производителей антивирусных продуктов путем добавления в файл hosts следующих строк:

127.0.0.1   avp.com
  127.0.0.1   ca.com
  127.0.0.1   customer.symantec.com
  127.0.0.1   dispatch.mcafee.com
  127.0.0.1   download.mcafee.com
  127.0.0.1   downloads1.kaspersky-labs.com
  127.0.0.1   downloads2.kaspersky-labs.com
  127.0.0.1   downloads3.kaspersky-labs.com
  127.0.0.1   downloads4.kaspersky-labs.com
  127.0.0.1   downloads-eu1.kaspersky-labs.com
  127.0.0.1   downloads-us1.kaspersky-labs.com
  127.0.0.1   f-secure.com
  127.0.0.1   kaspersky.com
  127.0.0.1   kaspersky-labs.com
  127.0.0.1   liveupdate.symantec.com
  127.0.0.1   liveupdate.symantecliveupdate.com
  127.0.0.1   mast.mcafee.com
  127.0.0.1   mcafee.com
  127.0.0.1   my-etrust.com
  127.0.0.1   nai.com
  127.0.0.1   networkassociates.com
  127.0.0.1   rads.mcafee.com
  127.0.0.1   secure.nai.com
  127.0.0.1   securityresponse.symantec.com
  127.0.0.1   sophos.com
  127.0.0.1   symantec.com
  127.0.0.1   trendmicro.com
  127.0.0.1   update.symantec.com
  127.0.0.1   updates.symantec.com
  127.0.0.1   us.mcafee.com
  127.0.0.1   viruslist.com
  127.0.0.1   viruslist.com
  127.0.0.1   www.avp.com
  127.0.0.1   www.ca.com
  127.0.0.1   www.f-secure.com
  127.0.0.1   www.kaspersky.com
  127.0.0.1   www.mcafee.com
  127.0.0.1   www.my-etrust.com
  127.0.0.1   www.nai.com
  127.0.0.1   www.networkassociates.com
  127.0.0.1   www.sophos.com
  127.0.0.1   www.symantec.com
  127.0.0.1   www.trendmicro.com
  127.0.0.1   www.viruslist.com

С целью получения скрытого доступа в сеть изменяет настройки встроенного в Windows XP межсетевого экрана, становясь таким образом "легальной программой".

Viruslist.ru

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь