Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл).
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 69120 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 410 КБ. Написана на C++.
В зависимости от параметров запуска бэкдор копирует свое тело в файл:
%APPDATA%\netprotocol.exeИли создает свою копию в системном каталоге Windows:
%System%\netprotocol.exeДля автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe"Если данный ключ создать не удается, бэкдор создает ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe"Если файл был скопирован в системный каталог Windows, то создается ключ:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol"="%System%\netprotocol.exe"После этого бэкдор запускает созданную копию на выполнение.
После запуска вредонос обращается к следующим серверам для получения команд дальнейшей работы:
http://kr***amdx.com/ http://ka***seuk.com/ http://ari***u.com/ http://l***irt.co.cc/После чего переходит в цикл ожидания команд. По команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая обновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем каталоге бэкдора как:
%WorkDir%\netprotdrvssПосле успешной загрузки файл запускается на выполнение. Запросы к серверу злоумышленника, к примеру, могут иметь следующий вид:
<server>/nconfirm.php?rev=346&code=3m=0&num=40401870851072
<server>/njob.php?num=<number>&rev=346
<server>/nconfirm.php?rev=346&code=7m=0&num= 40401870851072Число "<number>" генерируется на основе текущего системного времени. Подстрока "<server>" – имя сервера из вышеприведенного списка. Для своей дальнейшей работы вредонос создает файл конфигурации, который располагается по следующему пути:
%WorkDir%\System.logПомимо этого вредонос встраивает в посещаемые пользователем страницы Java Script код, предназначенный для отображения рекламы следующего ресурса:
http://begun.ruТакже бэкдор предназначен для «накрутки» статистики посещаемости сайтов - с сервера злоумышленника приходят поисковые запросы и ссылки на ресурсы, рейтинг которых необходимо повысить.
Вредонос изменяет стартовую страницу, а также систему поиска по умолчанию для следующих браузеров:
Internet Explorer Opera Mozilla Firefox
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "http://we***olta.ru" [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\ {0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "DisplayName"="Webvolta" "URL"="http://we***olta.ru/search.php?q={searchTerms}"
%System%\operaprefs_fixed.iniФайл содержит следующие строки:
[User Prefs] Startup Type=2 Home URL= http://we***olta.ru
%APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.default\user.jsГде <rnd1> - произвольная последовательность из цифр и букв латинского алфавита. записывает следующие строки
user_pref("dom.disable_window_status_change", false); user_pref("startup.homepage_override_url", "http://w***olta.ru"); user_pref("browser.startup.page", 1); user_pref("browser.startup.homepage", "http://w***olta.ru"); user_pref("browser.search.selectedEngine", "Webvolta");
%APPDATA%\Mozilla\Firefox\Profiles\<rnd1>.default\ searchplugins\webvolta.xmlФайл содержит следующие строки:
<SearchPlugin xmlns="http://www.mozilla.org/2006/browser/ search/"> <ShortName>Webvolta</ShortName> <Description>Webvolta search.</Description> <InputEncoding>windows-1251</InputEncoding> <Url type="text/html" method="GET" template=" http://w***olta.ru/search.php?"> <Param name="q" value="{searchTerms}"/> </Url></SearchPlugin>Также бэкдор выполняет следующие действия:
/updatefile3 /updatefile2 /updatefile1бэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.
[HKCU\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\P3P\History]
[HKLM\Software\Microsoft\Netprotocol] "UniqueNum" = "<number>" [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\ .Current] "(Default)" = "" [HKLM\Software\Classes\MIME\Database\Content Type\ application/x-javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" [HKLM\Software\Classes\MIME\Database\Content Type\ text/javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol" = "%APPDATA%\netprotocol.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Netprotocol"="%System%\netprotocol.exe" [HKLM\Software\Microsoft\Netprotocol] "UniqueNum" = "<number>" [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current] "(Default)" = "" [HKLM\Software\Classes\MIME\Database\Content Type\ application/x-javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}" [HKLM\Software\Classes\MIME\Database\Content Type\ text/javascript] "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\ {0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "DisplayName" "URL"=
%APPDATA%\netprotocol.exe %System%\netprotocol.exe %WorkDir%\netprotdrvss %WorkDir%\System.log %System%\operaprefs_fixed.ini %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>. default\user.js %APPDATA%\Mozilla\Firefox\Profiles\<rnd1>. default\searchplugins\webvolta.xml
Разбираем кейсы, делимся опытом, учимся на чужих ошибках