Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 21КБ. Упакована FSG. Размер распакованного файла около 54КБ.
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 21КБ. Упакована FSG. Размер распакованного файла около 54КБ.
Инсталляция
После запуска бэкдор копирует себя в системный каталог Windows и каталог автозагрузки с именами svohost.exe и swchost.exe:
* %System%\swchost.exe * %System%\svohost.exe * %User Profile%\Start Menu\Programs\Startup\svchost.exe
Затем вирус регистрирует себя в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "load32"="%System%\swchost.exe"
Также Dumador.ai создает следующие файлы в корневом каталоге Windows и папке Temp:
* %Windir%\prntsvr.dll * %Windir%\prntc.log * %Windir%\prntk.log * %Windir%\rundlln.sys * %Windir%\Temp\fa4537ef.tmp * %Windir%\Temp\fe43e701.htm * %Windir%\Temp\feff35a0.htm
Действие
Бэкдор открывает произвольный TCP-порт для предоставления злоумышленнику удаленного доступа к зараженной машине.
Бэкдор имеет следующие возможности:
* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;
* собирать информацию о системе (версия Windows и Internet Explorer, IP-адрес зараженной машины, названия открытых окон);
* отслеживать информацию, находящуюся в буфере обмена;
* воровать пароли и учетные данные пользователя.
Полученная информация может быть отправлена злоумышленнику через интернет на сайт http://www.whatpornsite.com/css/ или по электронной почте, так как бэкдор имеет встроенный SMTP-сервер.
Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.1:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com
Собираем и анализируем опыт профессионалов ИБ