Backdoor.Win32.Rbot.aotp

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 1441792 байта. Упакована неизвестным упаковщиком. Распакованный размер – около 1356 КБ. Написана на Delphi.

Инсталляция

Бэкдор завершает свою работу, не выполняя каких-либо деструктивных действий, будучи запущенным в виртуальных средах:

VMWare
VirtualPC
VirtualBox

а также при обнаружении в системе окна, в заголовке которого присутствует подстрока:

Sandboxie

После запуска бэкдор копирует свое тело в файл:

%WinDir%\system32 \smss.exe

Файлу присваивается атрибут "скрытый" (hidden).

Для автоматического запуска созданной копии при каждом следующем старте системы изменяется значение ключа системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"userinit" = "%System%\userinit.exe, %WinDir%\system32 \smss.exe"

Таким образом, копия бэкдора будет запускаться даже при загрузке компьютера в "безопасном режиме".

Кроме того, созданная копия добавляется в список доверенных приложений брандмауэра Windows путем создания ключа системного реестра:

[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
"%WinDir%\system32 \smss.exe" = "%WinDir%\system32 
\smss.exe:*:Enabled:SMS Services"

Распространение

Бэкдор копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\smss.exe

Также в корневом каталоге зараженного съемного диска создается файл:

<имя зараженного раздела>:\autorun.inf

который обеспечивает бэкдору возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваивается атрибут "скрытый" (hidden).

Кроме того, бэкдор реализует функционал распространения своей копии по локальной сети с использованием уязвимости RPC-DCOM (MS04-012).

Деструктивная активность

После запуска бэкдор выполняет следующие действия:

• изменяет значения ключей системного реестра:

  [HKCU\Console]
  "id" = "0"
  "Name" = "SMS Services"
  
  [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
  "DoNotAllowXPSP2" = "1"
  "DoNotAllowXPSP3" = "1"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced]
  "Hidden" = "0"
  "HideFileExt" = "1"
  "ShowSuperHidden" = "0"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue" = "0"
  

  Это приводит к изменению настроек службы Windows Update, а также к отключению отображения скрытых файлов и папок в Проводнике Windows.

  [HKLM\Software\Classes\exefile\shell\open\command]
  "(Default)" = ""%WinDir%\system32 \smss.exe" "%1" %*"
  

  Таким образом, исполняемый файл бэкдора будет запускаться каждый раз, когда пользователь запускает какое-либо приложение.

  [HKLM\Software\Microsoft\Ole]
  "enabledcom" = "N"
  

  Это приводит к отключению поддержки протокола DCOM. Изменения вступят в силу после перезагрузки компьютера.
• Устанавливает соединение с сервером злоумышленника и загружает с данного сервера конфигурационный файл, управляющий дальнейшей работой бэкдора. Кроме того, могут загружаться дополнительные модули, необходимые для работы бэкдора, а также обновления его исполняемого файла. Файл конфигурации сохраняется в системе как

  %WinDir%\system32 \win.log

• На основании данных, прочитанных из загруженного конфигурационного файла, бэкдор может выполнять следующие действия на зараженном компьютере:
  • перехват исходящего трафика к сайтам организаций, предоставляющих услуги онлайн банкинга, социальным сетям, почтовым серверам и т. д. с целью похищения данных аутентификации;
  • распространение копии бэкдора по локальной сети с использованием уязвимости RPC-DCOM (MS04-012);
  • загрузка и запуск на зараженном компьютере различных файлов;
  • отсылка злоумышленнику подробной информации о зараженной системе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   "%WinDir%\system32 \smss.exe" = "%WinDir%\system32 
   \smss.exe:*:Enabled:SMS Services"
   

2. Изменить значение ключа системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "userinit" = "%System%\userinit.exe," 
   

3. Восстановить оригинальные значения ключей системного реестра (как работать с реестром?):

   [HKCU\Console]
   "id"
   "Name"
   
   [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   "DoNotAllowXPSP2"
   "DoNotAllowXPSP3"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden"
   "HideFileExt"
   "ShowSuperHidden"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   "CheckedValue" 
   
   [HKLM\Software\Classes\exefile\shell\open\command]
   "(Default)"
   
   [HKLM\Software\Microsoft\Ole]
   "enabledcom"
   

4. Перезагрузить компьютер.
5. Удалить файлы:

   %WinDir%\system32 \smss.exe
   <имя зараженного раздела>:\smss.exe
   <имя зараженного раздела>:\autorun.inf
   %WinDir%\system32 \win.log
   

6. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
7. Установить обновление:
   http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
8. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).