Backdoor.Win32.Rbot.wbg

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 45780 байт. Упакована при помощи SVKP. Написана на C++.

Инсталляция

При запуске вредонос проверяет наличие запущенных системных мониторов и отладчиков, обращаясь к драйверам устройств по именованным ссылкам:

\\.\SICE
\\.\SIWVID
\\.\NTICE
\\.\REGSYS
\\.\REGVXG
\\.\FILEVXG
\\.\FILEM
\\.\TRW
\\.\ICEEXT

Проверяет, запущен ли процесс под отладчиком или удаленным отладчиком. Также проверяет имя компьютера на наличие в названии строк:

nepenthes
currentuser
vmware
honey
sandbox

Вредонос завершает свое выполнение при обнаружении хотя бы одного из перечисленных условий, при этом отображая сообщения об ошибке. Далее вредонос копирует свой исполняемый файл с именем:

%Program Files%\Common Files\System\molox.exe

либо

C:\RECYCLER\ molox.exe

устанавливая файлу атрибуты «Скрытый», «Системный». Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"="%Program Files%\Common Files\System\molox.exe"

или

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsSystem32"=" C:\RECYCLER\ molox.exe"

Деструктивная активность

Затем вредонос добавляет ссылку на свой исполняемый файл в список разрешенных приложений в брандмауэр Windows:

[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%Program Files%\Common Files\System\molox.exe"="%Program Files%\
Common Files\System\molox.exe:*:Enabled:WindowsSystem32"

Далее вредоносный бот выполняет подключение к IRC серверу для получения команд от злоумышленника:

dend***p.hu

При подключении к серверу вредонос указывает следующие параметры

USER <rnd> "fo<rnd2>.net" "lol" :<rnd>

где rnd – последовательность латинских букв; rnd2 – десятичное число. Затем бот подключается к IRC каналу: <[re>#db После удачного подключения к серверу, бот ожидает поступления следующих команд от злоумышленника:

• !v - получение версии бота.
• !d – отключение.
• !r - переподключение к тому же серверу.
• !q - подключение к другому серверу.
• !n - [ник] смена ника [на ник].
• !restart - перезагрузка бота.
• !scanstop - завершить сканирование.
• !patch - модификация (патч) драйвера «tcpip.sys».
• !total - все загрузки, осуществленные ботом через «ftpd».
• !vnc - отчет о статусе сервера «VNC (Virtual Network Computing)».
• !getcftp - получение текущих настроек «cftp».
• !j (#имя_канала) - команда join #имя_канала.
• !p (#имя_канала) - команда part # имя_канала.
• !bk (x) - запуск операции по уничтожению бота, x – количество циклов.
• !setcftp (хост) (порт) (пользователь) (пароль) (файл) - изменяет настройки сервера cftp.

Также вредонос пытается получить доступ к серверам ftp и удаленным рабочим столам, сканируя сеть при поступлении команды:

!scan (X) (произвольное / последовательное) (ip/b/y) 
(vnс_режим) (режим_передачи) [Диапазон_сканирования]

Данной команде могут передаваться следующие параметры:

1. Х - Количество одновременно запущенных потоков.
2. (произвольное /последовательное) - произвольное (1) / последовательное (0) сканирование.
3. (ip/b/y) - IP-адрес / сканирование диапазона адресов сетей подкласса C и D / сканирование диапазона адресов сети подкласса В.
4. VNC_режим:
   • с vnc сканированием,
   • vnc сканирование и получение административного доступа,
   • vnc сканирование только.
5. Режим_передачи
   • 0 – все боты используют «ftp».
   • 1 – локальные сетевые боты используют «cftp», WAN боты используют ftp.
   • 2 - все боты используют сftp.
6. Диапазон_сканирования - диапазон (в виде 127.0.x.x) для сканирования ботами (не сканируют пустые сетевые диапазоны).

Также бот может осуществлять загрузку и запуск на выполнение файлов, получая команды:

!h <конфигурационные_данные> (URL) 
[каталог_для_загрузки] (режим)

Конфигурационные_данные – строка для загрузки, представленная в виде хеша MD5. URL – ссылка для загрузки файла. Каталог_для_загрузки – каталог в который будет сохранятся загруженный файл. Режим :

• 0 – только загрузка
• 1 – загрузить и выполнить
• 2 – загрузить, выполнить и удалить себя

!h <конфигурационные_данные>

Конфигурационные_данные – строка для удаления, представленная в виде хеша MD5. При получении полного доступа к «сftp» серверу, бот устанавливает следующие настройки:

Хост – oli***yip.hu
Пользователь – u2m6g
Пароль – k3***mt
Файл – lol.jpg

Для получения доступа к VNC серверу, бот, путем перебора, пытается найти правильный пароль. В качестве словаря начально берутся следующие строки:

123   
1234   
12345   
123456   
1234567   
12345678   
abc   
abcd   
1   
admin   
pass   
password   
love   

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс бота "molox.exe".
2. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "WindowsSystem32"="%Program Files%\Common Files\System\
   molox.exe"
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "WindowsSystem32"=" C:\RECYCLER\ molox.exe" 
   [HKLM\System\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   "%Program Files%\Common Files\System\molox.exe"="%Program Files%
   \Common Files\System\molox.exe:*:Enabled:WindowsSystem32"
   

4. Удалить файлы:

   %Program Files%\Common Files\System\molox.exe

   либо

   C:\RECYCLER\ molox.exe

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).