Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.
При запуске Backdoor.Abebot выполняет следующие действия:
1.Копирует себя в %System%\[random file name].exe
2. Добавляет значение
"[random service name]" = "[random file name].exe -services"
в подключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
3. Добавляет значение :
"[random service name]" = "[random file name].exe -services -drivers"
в подключ реестра:
HKEY_USERS\S-1-5-21-679724519-2691042562-2408214785-1006\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run
4. Создает следующий подключ реестра как маркер инфицирования:
HKEY_LOCAL_MACHINE\Software\Microsoft\Connect
5. Открывает "черный ход" в систему на случайном TCP порте и ожидает команд от удаленного атакующего.
"Черный ход" позволяет атакующему выполнять следующие действия на скомпрометированном компьютере:
# Run commands # Retrieve system information and files via FTP, HTTP, or IRC, using DCC send commands # Restart or shutdown the computer # List or kill processes # Perform denial of service attacks # Retrieve a given URL # Port Scan # Send email # Start a SOCKS4 proxy server on a random TCP port # Log keystrokes
6. Понижает настройки безопасности путем завершения процессов влияющих на безопасность системы:
* AdDestroyer.exe * Alles-ist-vorbei.exe * Avengine.exe * Blaargh.exe * CCPXYSVC.EXE * CCSETMGR.EXE * CClaw.exe * CMESys.exe * Cheese-Burger.exe * DateManager.exe * Desktop-shooting.exe * EtherD.exe * FRW.EXE * GAMECHANNEL.EXE * GMT.exe * HijackThis.exe * IAMAPP.EXE * IAMSERV.EXE * KeenValue.exe * LOCKDOWN2000.EXE * Lookout.exe * MCAGENT.EXE * MWSOEMON.EXE * McShield.exe * Mpftray.exe * NAVAPSVC.EXE * NAVW32.exe * NISUM.EXE * NJEEVES.EXE * NMain.exe * NPROTECT.EXE * NPSSVC.EXE * NVCSCHED.EXE * Nip.exe * Nymse.exe * PAVFIRES.exe * Pavproxy.exe * PrecisionTime.exe * SAVSCAN.EXE * SNDSrvc.exe * SVCH0ST.EXE * SVCHOSL.PIF * SYS_ALERT.EXE * SearchUpgrader.exe * Smc.exe * SymWSC.exe * TBPSSvc.exe * TaskMan.exe * TeaTimer.exe * Tmntsrv.exe * VetMsg.exe * ViewMgr.exe * VirtualBouncer.exe * WUAUMQR.exe * Weather.exe * WeatherOnTray.exe * WebRebates0.exe * WebRebates1.exe * WebSavingsFromEbates0.exe * WebSavingsFromEbates1.exe * Zanda.exe * Zlh.exe * actalert.exe * apvxdwin.exe * avgcc32.exe * avgserv.exe * avpcc.exe * bargains.exe * bigfix.exe * blackd.exe * blackice.exe * cashback.exe * ccApp.exe * ccEvtMgr.exe * dllhost32.exe * dmserver.exe * drweb32w.exe * drwebscd.exe * dust.exe * ethereal.exe * evntsvc.exe * filemon.exe * firedaemon.exe * guw32.exe * hbsrv.exe * imss.exe * intrenat.exe * istsvc.exe * lockdown.exe * lockdown2000.exe * lordpe.exe * mcupdate.exe * mcvsrte.exe * mcvsshld.exe * mghtml.exe * mgui.exe * minilog.exe * mmc.exe * mostat.exe * msblast.exe * mscnt.exe * msconfig.exe * msconfig32.exe * mspmspv.exe * netmon.exe * netstat.exe * nvcoas.exe * ollydbg.exe * optimize.exe * persfw.exe * portmon.exe * procdump.exe * processmonitor.exe * rcp32.exe * regedit.exe * regmon.exe * rmss.exe * scvhosts.exe * smc.exe * sniffem.exe * spidernt.exe * spoolsrv.exe * stinger.exe * svchosts.exe * svcnet.exe * svshosts.exe * symlcsvc.exe * syscfg32.exe * sysmon.exe * system32.exe * taskkill.exe * tasklist.exe * tcpview.exe * tskill.exe * updmgr.exe * videodrv.exe * vsmain.exe * winka.exe * winppr32.exe * winsrv32.exe * winupdat.exe * winupdt.exe * wml.exe * xcommsvr.exe * zapro.exe * zlclient.exe * zonealarm.exe
7. Изменяет файл hosts, чтобы заблокировать доступ к следующим Web сайтам:
* avp.com * ca.com * f-secure.com * housecall.trendmicro.com * kaspersky.com * mcafee.com * my-etrust.com * nai.com * networkassociates.com * secure.nai.com * securityresponse.symantec.com * sophos.com * symantec.com * trendmicro.com * us.mcafee.com * v4.windowsupdate.microsoft.com * v5.windowsupdate.microsoft.com * v5windowsupdate.microsoft.nsatc.net * viruslist.com * windowsupdate.com * windowsupdate.microsoft.com * www.avp.com * www.bitdefender.com * www.ca.com * www.f-secure.com * www.kaspersky.com * www.mcafee.com * www.my-etrust.com * www.nai.com * www.networkassociates.com * www.pandasoftware.com * www.ravantivirus.com * www.sophos.com * www.symantec.com * www.trendmicro.com * www.viruslist.com * www.windowsupdate.com * www3.ca.com
Спойлер: она начинается с подписки на наш канал