Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Backdoor.Win32.Knokk.az

Backdoor.Win32.Knokk.az

Время детектирования	27 авг 2009 16:56 MSK
Время выпуска обновления	27 авг 2009 21:26 MSK
Описание опубликовано	02 ноя 2009 15:07 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Имеет размер 65033 байта, написана на C++, упакована с помощью UPX.

Инсталляция

При запуске вредоносная программа копирует свой исполняемый файл в системный каталог Windows:

%System%\explore.exe

Для автоматического запуска при каждом следующем старте системы программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Shell" = Explorer.exe "%System%\explore.exe"

Деструктивная активность

При запуске программа периодически соединяется с одним из следующих командных серверов:

http://mai***un.com/tasker/
http://skdm***mioidf.com/tasker/
http://nort***t65ijnm235n.com/tasker/

И получает от него электронные адреса сайтов, с которыми программе следует соединиться. Таким образом, по команде управляющего сервера программа отправляет HTTP Get запрос на указанный сервер. В результате увеличивается статистика посещаемости сайта.

Бэкдор может отправлять управляющему серверу следующие типы HTTP запросов(для примера был выбран сервер http://mai***un.com/tasker/):

GET http://mai***un.com/tasker/talkback.php?words=<status>&l=mtn10k

Такой запрос отправляется серверу для сообщения статуса работы программы.

<status>

- статус работы программы, может принимать следующие значения:

knock run ok

– программа запустилась

knock kill initfail

– программа не смогла корректно начать работу

knock kill cantkill

– программа не смогла завершить процесс “explore.exe”

knock copy fail

- программа не смогла скопировать себя в системную директорию windows

knock reg fail

– программа не смогла создать ключ автозагрузки в реестре

knock start ok

– программа успешно закончила установку и готова принимать команды от сервера

GET http://mai***un.com/tasker/gettask.php?version=20090722&l=mtn10k

Такой запрос отправляется серверу для получения команды, при этом в ответном сообщении содержатся следующие типы команды, которые затем выполняет вредоносная программа:

“update”

– по этой команде программа скачивает новую программу, запускает ее, а себя удаляет. Таким образом, происходит обновление вредоносной программы на более новую версию. Электронный адрес, с которого должно произойти обновление, вредоносная программа получает вместе с командой update.

“rich”

– по этой команде программа выполняет новый GET запрос на web-страницу, адрес которой получен вместе с командой rich. Таким образом, увеличивается статистика посещений полученной web-страницы.

“setTimerInterval”

– по этой команде изменяется период обращения вредоносной программы к управляющему серверу.

Резюме

Trojan-Clicker. Открывает различные веб-страницы без ведома пользователя для "накрутки" статистики посещаемости сайтов

Выполняет потенциально-опасные действия

Технические детали

Основной файл является приложением Windows (PE EXE-файл). Имеет размер 65033 байт. Файл был подвергнут обработке специальными утилитами "упаковщиками". Упаковка может применяться в разнообразных целях, в том числе и в легальных программах. Однако вирусописатели зачастую используют ее для обхода средств антивирусной защиты, а также затруднения анализа такой упакованной программы вирусным аналитикомУпакован UPX.

Инсталляция

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку установленных файлов:

путем прописывания в ключах автозапуска системного реестра

Вредоносная активность

После запуска открывает различные URL-ссылки

Прочие действия

Выполняет запуск определенных файлов (команд)

Удаляет определенные файлы на зараженном компьютере

Печать

Закладки

Вредоносные программы

Троянские программы

Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие названия

Backdoor.Win32.Knokk.az («Лаборатория Касперского») также известен как:

Trojan.Win32.Agent.cvif («Лаборатория Касперского»)
Trojan: Generic.dx!bge (McAfee)
Mal/Generic-L (Sophos)
W32/Downldr2.GJAY (FPROT)
Trojan:Win32/Bumat!rts (MS(OneCare))
Trojan.DownLoad.41045 (DrWeb)
Win32/Knock.AA trojan (Nod32)
Trojan.Generic.2253351 (BitDef7)
Trojan.Agent.QAXJ (VirusBuster)
Win32:Knock [Trj] (AVAST)
Backdoor.Win32.Knokk (Ikarus)
Agent2.SOU (AVG)
TR/Agent.cvif.1 (AVIRA)
Trojan Horse (NAV)
W32/DLoader.TYGR (Norman)
Trojan.Spy.Win32.Undef.GEN [Suspicious] (Rising)
Trojan.Win32.Agent.cvif [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.Agent.QAXJ (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com