Backdoor.Win32.Bifrose.d

Backdoor.Win32.Bifrose.d («Лаборатория Касперского») также известен как: BackDoor-CKA.gen (McAfee), Backdoor.Bifrose (Symantec), BackDoor.Bifrost (Doctor Web), Troj/Bckdr-CER (Sophos), Backdoor:Win32/Bifrose.B (RAV), TROJ_HINOR.A (Trend Micro), TR/PSW.LdPinch.T (H+BEDV), BackDoor.Bifrose.D (Grisoft), Backdoor.Bifrose.D (SOFTWIN), Trojan.Bifro-11.A-srv (ClamAV), Bck/Bifrose.A (Panda), Win32/Bifrose.D (Eset)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.

Представляет собой Windows PE-EXE файл. Может быть упакована различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде — около 73 КБ, размер в распакованном виде может быть от 90 КБ и более.

Инсталляция

При инсталляции бекдор копирует себя в системный каталог Windows с именем system.exe:

%System%\system.exe

Затем регистрирует этот файл в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "system"="%System%\system.exe"

При каждой следующей загрузке Windows автоматически запустит зараженный файл.

После чего бэкдор создает следующие ключи и записи в системном реестре:

  
  [HKLM\Software\Microsoft\Active Setup\Installed 
  Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
  "stubpath"="%System%\system.exe s"
  
  [HKCU\Software\Wget]
  [HKLM\Software\Wget]

Также бэкдор создает файл с именем plugin1.dat в системном каталоге Windows:

  
  %System%\plugin1.dat

Действия

Backdoor.Win32.Bifrose.d открывает на зараженной машине TCP порт 1971 для предоставления злоумышленнику удалённого доступа к заражённой машине. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, отправлять ее на удаленные сервера в интернете, завершать активные процессы и т.д.