Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 24917 байт. Написана на C++.
Инсталляция
После запуска бэкдор копирует свое тело в следующие файлы:
%System%\ms18_word.exe
%USERPROFILE%\ms18_word.exe
Для автоматического запуска созданных копий при каждом следующем старте системы бэкдор создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ms18_word" = "%System%\ms18_word.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ms18_word" = "%USERPROFILE%\ms18_word.exe"
Далее для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del <полный путь к оригинальному файлу бэкдора> >> NUL
После этого бэкдор завершает свою работу.
Деструктивная активность
После запуска бэкдор запускает экземпляр процесса "%System%\svchost.exe" и внедряет в его адресное пространство исполняемый код, реализующий описанный ниже функционал.
В цикле через каждые 20 секунд выполняется поочередное соединение со следующими удаленными хостами:
69.****.186
97.****.227
69.****.170
72.****.117
74.****.82
74.****.42
92.****.118
fire****e.com
fuc****ebs.com
ani****ut.cn
После соединения на очередной хост отправляется запрос следующего вида:
GET
/40E8001430303030303030303030303030303030303031306
C0000014466000000007600000642EB000530F3C3D4E2
HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Host: mg****06k.com
Connection: Keep-Alive
В ответ на посланный запрос бэкдор получает идентификатор команды, в зависимости от которого могут выполняться следующие действия:
- загрузка файлов по полученным от злоумышленника ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя как
%Temp%\BN<<rnd>.tmp
где <rnd> – случайное шестнадцатеричное число.
После успешной загрузки файлы запускаются на выполнение.
- Получение данных от злоумышленника и внедрение их в качестве исполняемого кода в адресное пространство экземпляра процесса "svchost.exe".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ms18_word" = "%System%\ms18_word.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ms18_word" = "%USERPROFILE%\ms18_word.exe"
- Удалить файлы:
%System%\ms18_word.exe
%USERPROFILE%\ms18_word.exe
%Temp%\BN.tmp
- Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
RSS-каналы
