Троянская программа класса backdoor. Является приложением Windows (PE EXE-файл), имеет размер около 244 КБ (упакована Obsidium, размер распакованного файла - около 413 КБ), написана на Microsoft Visual C++.
При запуске копирует себя в системный каталог Windows под именем "dx32cxlp.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "devsec"="%System%\dx32cxlp.exe"
Создаёт ключ реестра с произвольным значением:
[HKLM\SOFTWARE\Microsoft\Internet Explorer\mutexname]
"Троянец" копирует себя в папку StartUp и создаёт файл "dx32cxconf.ini" в системном каталоге Windows.
Устанавливает себя как сервис "dx32cxel". Путь к файлу: "%System%\dx32cxel.sys".
Запускает proxy-сервер для HTTP- и SMTP-трафика на произвольном порту.
Пытается соединиться со следующими IRC-серверами для получения команд:
193.19.227.24:4661 205.209.176.220:4661 207.44.142.33:4242 207.44.206.27:4661 207.44.222.47:4661 211.214.161.107:4661 211.233.41.235:4661 212.199.125.36:8080 213.158.119.104:4661 216.127.94.107:4661 218.78.211.62:4661 4.246.18.98:4661 62.241.53.15:4242 62.241.53.16:4242 62.241.53.17:4242 62.241.53.2:4242 62.241.53.4:4242 64.246.16.11:4661 64.246.54.12:3306 65.75.161.70:4661 66.111.43.80:4242 66.90.68.2:6565 66.98.144.100:4242 66.98.192.99:3306 67.15.18.45:3306 67.15.18.57:3306 69.50.187.210:4661 69.50.228.50:4646 69.57.132.8:4661 80.64.179.46:4242 81.23.250.167:4242 81.23.250.169:4242
Пытается сделать невозможным скачивание обновлений антивирусных баз и запретить доступ к сайтам компаний-производителей антивирусных продуктов путем добавления в файл hosts следующих строк:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com
С целью получения скрытого доступа в сеть изменяет настройки встроенного в Windows XP межсетевого экрана, становясь таким образом "легальной программой".
Viruslist.ruСобираем и анализируем опыт профессионалов ИБ