Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Backdoor.Win32.HareBot.ho

Время детектирования 26 июл 2009 16:40 MSK
Время выпуска обновления 26 июл 2009 20:55 MSK
Описание опубликовано 25 янв 2010 12:22 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 24917 байт. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в следующие файлы:

%System%\ms18_word.exe
%USERPROFILE%\ms18_word.exe
Для автоматического запуска созданных копий при каждом следующем старте системы бэкдор создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%System%\ms18_word.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%USERPROFILE%\ms18_word.exe"
Далее для удаления своего оригинального файла после завершения его работы бэкдор запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c del <полный путь к оригинальному файлу бэкдора> >> NUL
После этого бэкдор завершает свою работу.


Деструктивная активность

После запуска бэкдор запускает экземпляр процесса "%System%\svchost.exe" и внедряет в его адресное пространство исполняемый код, реализующий описанный ниже функционал.

В цикле через каждые 20 секунд выполняется поочередное соединение со следующими удаленными хостами:

69.****.186
97.****.227
69.****.170
72.****.117
74.****.82
74.****.42
92.****.118
fire****e.com
fuc****ebs.com
ani****ut.cn
После соединения на очередной хост отправляется запрос следующего вида:
GET
/40E8001430303030303030303030303030303030303031306
C0000014466000000007600000642EB000530F3C3D4E2
HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Host: mg****06k.com Connection: Keep-Alive
В ответ на посланный запрос бэкдор получает идентификатор команды, в зависимости от которого могут выполняться следующие действия:
  • загрузка файлов по полученным от злоумышленника ссылкам. Загруженные файлы сохраняются во временном каталоге пользователя как
    %Temp%\BN<<rnd>.tmp
    где <rnd> – случайное шестнадцатеричное число. После успешной загрузки файлы запускаются на выполнение.
  • Получение данных от злоумышленника и внедрение их в качестве исполняемого кода в адресное пространство экземпляра процесса "svchost.exe".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить ключи системного реестра (как работать с реестром?):
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%System%\ms18_word.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ms18_word" = "%USERPROFILE%\ms18_word.exe"
  3. Удалить файлы:
    %System%\ms18_word.exe
    %USERPROFILE%\ms18_word.exe
    %Temp%\BN.tmp
  4. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
    %Temporary Internet Files%
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Bookmark and Share
Закладки
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации

Другие названия

Backdoor.Win32.HareBot.ho («Лаборатория Касперского») также известен как:

  • Trojan: Cutwail.gen.d (McAfee)
  • Mal/Pushdo-F (Sophos)
  • Generic Trojan (Panda)
  • W32/Kobcka.B.gen!Eldorado (FPROT)
  • TrojanDownloader:Win32/Cutwail.AQ (MS(OneCare))
  • Trojan.DownLoad.41506 (DrWeb)
  • Win32/Kryptik.ZJ trojan (Nod32)
  • Trojan.Generic.2297829 (BitDef7)
  • Backdoor.HareBot.N (VirusBuster)
  • Win32:Kobcka-M [Trj] (AVAST)
  • Trojan-Downloader.Win32.Cutwail (Ikarus)
  • Generic14.KAG (AVG)
  • TR/Dropper.Gen (AVIRA)
  • Backdoor.Trojan (NAV)
  • W32/Cutwail.I (Norman)
  • Backdoor.Win32.Undef.ele (Rising)
  • BKDR_HAREBOT.T (TrendMicro)