Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл).
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 89088 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 181 КБ. Написана на C++.
После запуска бэкдор копирует свое тело в файл:
%APPDATA%\netprotocol.exeПри этом для противодействия сигнатурным анализаторам антивирусных программ, в копии модифицируются 2 байта: Подвергнутая подобной модификации копия детектируется Антивирусом Касперского как "Trojan-PSW.Win32.Qbot.aem".
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]Если данный ключ создать не удается, бэкдор создает ключ:
"Netprotocol" = "%APPDATA%\netprotocol.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]После этого бэкдор запускает созданную копию на выполнение.
"Netprotocol" = "%APPDATA%\netprotocol.exe"
Бэкдор способен копировать свое тело в файл:
%WorkDir%\netprotocol.dllи, используя экспортируемую функцию "_ClearEvent@12", внедрять в адресное пространство процессов браузеров:
firefox.exeисполняемый код, перехватывающий вызовы API-функций:
iexplore.exe
opera.exe
WSARecvбиблиотеки "ws2_32.dll". Таким образом, бэкдор получает возможность следить за входящим и исходящим трафиком браузеров, и по команде злоумышленника собирать информацию о поисковых запросах пользователя на сайты:
recv
send
http://rupoisk.ruа также перенаправлять пользователя на следующие ресурсы:
http://ru.search.yahoo.com
http://www.bing.com
http://nigma.ru
http://search.qip.ru
http://nova.rambler.ru
http://www.google.ru
http://yandex.ru
http://aut***gun.ruТакже по команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая обновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем каталоге бэкдора как:
http://sear***tnik1.ru
http://autoc***gun.ru
http://ppc***gun.ru
%WorkDir%\netprotdrvssПосле успешной загрузки файл запускается на выполнение.
Запросы к серверу злоумышленника, к примеру, могут иметь следующий вид:
/nconfirm.php?rev=294&code=3m=2&num=
40401870851072
/njob.php?num=&rev=294
/nconfirm.php?rev=294&code=7m=0&num
=40401870851072
http://sjd***sla.comНа момент создания описания подключиться к указанным серверам не удалось. Имена команд, обрабатываемых бэкдором:
http://sa***d.com
http://se***nd.com
http://ha***rd.net
http://he***cy.com
ZORKASITEТакже после запуска бэкдор выполняет следующие действия:
ZORKAFEED
BODYCLICK
KEYWORDS
RUPFEED
RUPPUBL
XMLFEED
REKLOSOFT
TEASERNET
MARKETGID
SUPERPOISK
RSCONTEXT
SPUTNIK
DIRECTST
GOOGADS
HOTLOGCH
LIVINETCH
BEGUNCH
UPDATE
SPLICEPROC
COOKREJCT
ZORKAFST
SEPARATEPROC
TERMINATE
DESTROY
/updatefile3бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.
/updatefile2
/updatefile1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
P3P\History]
[HKLM\Software\Microsoft\Netprotocol]
"UniqueNum" = ""
[HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
"(Default)" = ""
[HKCR\MIME\Database\Content Type\application/x-javascript]
"CLSID" = "{25336920-03F9-11cf-8FD0-00AA00686F13}"
[HKCR\MIME\Database\Content Type\text/javascript]
"CLSID" = "{25336920-03F9-11cf-8FD0-00AA00686F13}"
Спойлер: она начинается с подписки на наш канал