Backdoor.Win32.Landis.b
Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.
Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.
Представляет собой Windows PE-EXE файл. Имеет размер около 113 КБ.
Инсталляция
При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.
Например:
%System%\drtusi\csrss.exe
Также в данной папке бекдор создает следующие файлы:
%System%\drtusi\csrss.dat %System%\drtusi\csrss.ini
После чего оригинальный запускаемый файл удаляется.
Бекдор создает ссылку на себя в каталоге автозагрузки:
%UserProfile%\Start Menu\Programs\Startup\csrss.lnk
Затем регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] "csrss"=" "
Добавляет следующие записи в системный реестр:
[HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Windows] "Load"="%System%\<случайное имя папки>\ csrss.exe" "Run"="%System%\<случайное имя папки>\ csrss.exe"
В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки:
load = %System%\<случайное имя папки>\ csrss.exe run = %System%\<случайное имя папки>\ csrss.exe
Также бэкдор добавляет следующие записи в системный реестр:
[HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0" [HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1"
Действия
Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.
Помимо этого бэкдор обладает следующей функциональностью:
* распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;
* загрузка и запуск на зараженном компьютере различных файлов;
* удаление файлов;
* остановка различных активных процесов;
* перезагрузка компьютера;
* проведение DoS-атак;
* отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;
* выполнение на зараженном компьютере различных команд;
* закрузка своих обновлений;
* прочеее.
Прочее
Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 grisoft.com 127.0.0.1 housecall.trendmicro.com 127.0.0.1 kaspersky.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 merijn.org 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 pandasoftware.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 spywareinfo.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 www.avp.com 127.0.0.1 www.awaps.net 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.merijn.org 127.0.0.1 www.microsoft.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.sophos.com 127.0.0.1 www.spywareinfo.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.zonelabs.com 127.0.0.1 www3.ca.com 127.0.0.1 zonelabs.com
Landis.b выгружает из системы процессы, содержащие в именах следующие строки:
bbeagle.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccsetmgr.exe d3dupdate.exe enterprise.exe gcasdtserv.exe gcasserv.exe hijackthis.exe i11r54n4.exe irun4.exe isafe.exe issvc.exe kav.exe kavsvc.exe mcagent.exe mcdash.exe mcinfo.exe mcmnhdlr.exe mcshield.exe mcvsescn.exe mcvsftsn.exe mcvsrte.exe mcvsshld.exe mpfagent.exe mpfservice.exe mpftray.exe msblast.exe msconfig.exe mscvb32.exe mskagent.exe mwincfg32.exe navapsvc.exe navapw32.exe navw32.exe npfmntor.exe outpost.exe pandaavengine.exe pccguide.exe pcclient.exe pcctlcom.exe penis32.exe regedit.exe smc.exe sndsrvc.exe spbbcsvc.exe symlcsvc.exe sysinfo.exe sysmonxp.exe teekids.exe tmntsrv.exe tmpfw.exe tmproxy.exe usrprmpt.exe vsmon.exe wincfg32.exe winsys.exe winupd.exe zapro.exe zlclient.exe
Также бекдор удаляет из системного реестра следующие записи:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\CleanUp] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\gcasServ] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\MCAgentExe] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\MCUpdateExe] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Outpost Firewall] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\SmcService] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Symantec NetDriver Monitor] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\VirusScan Online] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\VSOCheckTask] [HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\Zone Labs Client] [HKLM\Softwsre\Microsoft\Windows\ CurrentVersion\Run\KAVPersonal50]
Собираем и анализируем опыт профессионалов ИБ