Backdoor.Win32.Agent.bhyr

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE-EXE файл). Имеет размер 107170 байт. Написана на C++.

MD5: 62daa0d7a49f1338513759b79622489f
SHA1: ede54613de2c21244c7849759c4bf82f1b7d827e

Деструктивная активность

При запуске бэкдор извлекает из своего тела файл и сохраняет его под следующим именем:

%SystemDrive%\Documents and Settings\Local User\lss.dll

Данный файл имеет размер 17916481 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Agent.bhyr.

Далее бэкдор создает службу с именем «360svc» (отображаемое имя службы «Serial Number Service»), а также создает следующие ключи системного реестра:

[HKLM\System\ControlSet001\Services\360svc]
"Description"="might not be down loaded to the device."
"IsalouentlMdl"="%Original Filename%"

[HKLM\System\ControlSet001\Services\360svc\Parameters]
"ServiceDll"="%SystemDrive%\Documents and Settings\Local User\lss.dll"

Также бэкдор добавляет в конец списка значения следующего ключа системного реестра строку с именем созданной службы «360svc»:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"

После этого бэкдор запускает созданную службу. Это приведет к запуску извлеченной библиотеки в адресном пространстве системного процесса «svchost.exe».

При запуске библиотека выполняет следующие действия:

• получает оригинальное имя бэкдора путем чтения ключа реестра:

  [HKLM\System\ControlSet001\Services\360svc]
  "IsalouentlMdl"
  

• удаляет оригинальный файл бэкдора.
• получает доступ к пользовательскому рабочему столу, буферу обмена, вводу информации.
• осуществляет сетевое взаимодействие и обмен информацией со следующим хостом:

  moyu***cp.net

  На момент создания описания хост не отвечал.
• создает ключ системного реестра:

  [HKLM\System\CurrentControlSet\Services\360svc]
  "Type"="288"
  

  Библиотека имеет функционал позволяющий загружать на компьютер пользователя файлы по полученным ссылкам и запускать их, а также внедрять код в адресное пространство других процессов.

При работе бэкдор создает уникальный идентификатор с именем «YuAnk Update».

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл бэкдора, если он существует. Его расположение на зараженном компьютере можно установить прочитав значение следующего ключа системного реестра:

   [HKLM\System\ControlSet001\Services\360svc]
   "IsalouentlMdl"
   

2. Остановить службу с именем «Serial Number Service».
3. Удалить ветки системного реестра и все ключи в них (как работать с реестром?):

   [HKLM\System\ControlSet001\Services\360svc]
   [HKLM\System\CurrentControlSet\Services\360svc]
   

4. Удалить строку «360svc» из списка в значении следующего ключа системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
   "netsvcs"
   

5. Удалить файл:

   %SystemDrive%\Documents and Settings\Local User\lss.dll

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).