Backdoor.Win32.Clampi.a

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя и удаленного управления зараженным компьютером. Является приложением Windows (PE-EXE файл). Имеет размер ~470 кБайт.

Инсталляция

При запуске, троянец создает на диске следующий файл:

%AppData%\<name>.exe

Где - произвольное имя из списка:

dumpreport
msiexeca
svchosts
upnpsvc
service
taskmon
rundll
helper
event
logon
sound
lsas

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“” = %AppData%\<name>.exe|

Где - произвольное имя из списка:

CrashDump 
svchosts 
EventLog 
TaskMon 
Windows 
RunDll 
System 
Setup 
Sound 
lsass 
UPNP 
Init

Деструктивная активность

В процессе работы, троянец соединяется с серверами, с которых скачивается вредоносный код на исполнение. Адреса cерверов троянец хранит в ключе системного реестра:

HKCU\Software\Microsoft\Internet Explorer\Settings\"GatesList"

Также он хранит свои настройки в следующих ключах реестра:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID

С вышеприведенных серверов, троянец скачивает вредоносный код, с помощью которого собирает всю информацию о компьютере(имена пользователей, их логины и пароли, пароли от программ, пароли локальных и сетевых ресурсов windows).

Также троянец может быть настроен на кражу логинов и паролей от систем интернет-банкинга, путем подмены банковский страниц своими. При этом программа направлена на такие распространенные банковские страницы как:

https://www.hsbc.co.uk
https://www.mybusinessbank.co.uk
https://investing.schwab.com

Распространение по сети:

Для распостранения в локальной сети программа пытается скопировать и запустить себя на соседних компьютерах, используя сетевые ресурсы ipc$, admin$, а также расшаренные папки. Для запуска на соседних компьютерах троянец использует легальную утилиту psexec.exe компании Sysinternals.

Примечание:

Для предотвращения распространения в сети, необходимо в первую очередь пролечить сервера, которые имеют административные привелегии. Также нужно позаботится о стокости паролей на локальных компьютерах.

Программа скачивает различный код с серверов, на которые она настроена. Соответственно, этот код может меняться. В ходе анализа вредоносного кода при создании описания программа соединялась со следующими адресами:

panel.***boora.cn
147.202.39.***
174.36.82.***        
195.12.38.***
195.189.247.***
195.225.236.***
205.234.231.***
209.51.159.***
209.85.120.***
61.153.3.***
64.18.143.***
66.128.55.***
66.199.237.***
66.199.237.***
66.225.237.***
66.7.197.***
75.102.23.***

Программа работает только на английских версиях windows.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить вредоносный процесс.
2. Удалить оригинальный файл бекдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файл созданный бекдором:

   %AppData%\<name>.exe

4. Удалить ключ системного реестра:

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "<name2>" = %AppData%\<name>.exe

   Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию)