Backdoor.Win32.Bredavi.byc
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 26113 байт. Написана на C++.
Инсталляция
Троянец копирует свое тело в системный каталог Windows под именем "xxtr.lro":
%System%\xxtr.lroДля автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe rundll32.exe xxtr.lro olxanj"
Деструктивная активность
Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:
[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1"И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3902263633e897d151Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:
svchost.exeТроянец отправляет запрос по следующему адресу:
http://****hostforyou.cn/onlyhotnews/bb.phpНа момент создания описания ссылка не работала.
В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:
[HKCR\idid]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\xxtr.lro
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы:
%Temporary Internet Files%
- Удалить ключ системного реестра:
[HKCR\idid]
- При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра:
[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
- Восстановить значение параметра ключа системного реестра на следующее:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
MD5: 3D4132868BD4C67E2094A01863376840
SHA1: 3DB204FDF13E1C146BA924906A2A4EE3510F2DE0