Security Lab

Backdoor.Win32.Bredavi.asq

Backdoor.Win32.Bredavi.asq

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 27136 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "dckp.kio":

%System%\dckp.kio
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра: 
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="Explorer.exe rundll32.exe dckp.kio pushprl"

Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" = "1" "AccessVBOM" = "1"
И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

904704995647863
Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код: Троянец отправляет запрос по следующему адресу: 
http://dal***ews.cn/myl/bb.php
На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

[HKCR\idid]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы: 
    %System%\dckp.kio
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы ( Как удалить инфицированные файлы в папке Temporary Internet Files? ): 
    %Temporary Internet Files%
  4. Удалить ключ системного реестра ( как работать с реестром? ): 
    [HKCR\idid]
  5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра( как работать с реестром? ): 
    [HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
  6. Восстановить значение параметра ключа системного реестра на следующее( как работать с реестром? ): 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).

MD5: 5B8BAC6BBEBB32D02594C0B978FF9DF1
SHA1: D2528D78CB5F6E772D8FB4FF029F3E0DC30EA5EE

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь