Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Backdoor.Win32.Bredolab.azz

Backdoor.Win32.Bredolab.azz

Время детектирования	09 ноя 2009 01:59 MSK
Время выпуска обновления	09 ноя 2009 09:12 MSK
Описание опубликовано	15 дек 2009 17:52 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 77824 байта. Написана на С++.

Деструктивная активность

После запуска вредонос проверяет платформу текущей операционной системы, если она отлична от Windows NT, тогда завершает свою работу. После этого проверяет имя, под которым был запущен:

Если имя было произвольным, тогда вредонос ищет процесс с именем "cfp.exe". Если данный процесс был запущен, тогда вредоносная программа перемещает свое оригинальное тело во временный каталог текущего пользователя Windows со случайным именем "~TM<rnd>.tmp" (где <rnd> - случайный набор латинских букв и цифр):
```
%Temp%\~TM<rnd>.tmp
```
и завершает свое выполнение.

Если же процесс "cfp.exe" не был обнаружен, тогда вредоносная программа создает копию своего оригинального тела:
```
%Temp%\~TM54EA3A.TMP
```
После чего производит внедрение своего тела в адресное пространство процесса с именем "explorer.exe".

Далее перемещает свое тело во временный каталог текущего пользователя Windows:
```
%Temp%\~TM<rnd>.tmp
```
Если имя было "explorer.exe", тогда вредонос создает уникальный идентификатор для контроля уникальности своего потока в системе с именем:
```
_SYSTEM_4D2EF3A_
```
Далее проверяет наличие файла:
```
%Temp%\~TM27FB4A.TMP
```
при обнаружении данного файла, читает значение параметра ключа системного реестра:
[HKCUSoftware\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Startup" =
В данном ключе реестра находится путь к каталогу автозапуска Windows.

После этого перемещает обнаруженный файл:
```
%Temp%\~TM27FB4A.TMP
```
в файл каталога автозапуска Windows:
```
{каталог автозапуска Windows}\isqsys32.exe
```
Данному файлу вредонос устанавливает атрибуты "только чтение" и "системный", а также дату создания, такую как у системного файла:
```
%System%\smss.exe
```
Обычно каталог автозапуска Windows находится по следующему пути:
C:\Documents and Settings\{имя текущего
пользователя Windows}\Главное меню\Программы\Автозагрузка
Затем вредонос создает и запускает процесс с именем "svchost.exe", в адресное пространство данного процесса внедряет вредоносный код.
Если имя было"isqsys32.exe", тогда вредонос ищет процесс с именем "cfp.exe". Если данный процесс был запущен, тогда вредоносная программа перемещает свое оригинальное тело во временный каталог текущего пользователя Windows со случайным именем "~TM<rnd>.tmp" (где <rnd> - случайный набор латинских букв и цифр):
```
%Temp%\~TM<rnd>.tmp
```
и завершает свое выполнение.

Если же процесс "cfp.exe" не был обнаружен, тогда создает и запускает процесс с именем "svchost.exe", в адресное пространство данного процесса внедряет вредоносный код.

Во время своей работы вредоносная программа производит поиск перехватчиков в следующих функциях библиотек "kernel32.dll" и "ntdll.dll":
```
CreateRemoteThread
WriteProcessMemory
VirtualProtectEx
VirtualAllocEx
NtAllocateVirtualMemory
NtWriteVirtualMemory
NtProtectVirtualMemory
NtCreateThread
NtAdjustPrivilegesToken
NtOpenProcess
NtOpenThread
NtQueueApcThread
NtSetValueKey
```
при обнаружении снимает их. Для этого создает временные копии вышеупомянутых библиотек во временном каталоге текущего пользователя Windows со случайными именами:
```
%Temp%\~TM<rnd>.tmp
```
Таким образом вредонос противодействует технологиям автоматического анализа программ для обнаружения их вредоносной активности.

Произведя внедрение в адресное пространство созданного процесса "svchost.exe", вредоносная программа в бесконечном цикле отправляет запросы на следующий ресурс:
```
m*********tem.ru
```
запрос выглядит следующим образом:
GET /pu******r.php?action=bot&entity_list=&uid=
&first={"0" или "1" — в зависимости от количества запусков}&guid={серийный
номер тома}&v=15&rnd=8520045
По данному запросу получает другие вредоносные файлы и ключи их расшифровки. Расшифрованные вредоносные программы записывает во временный каталог текущего пользователя Windows с именами "wpv<rnd2>.exe", (где <rnd2> - случайный набор цифр). На момент создания описания загружались следующие файлы:
%Temp%\wpv<rnd2>.exe — 38400 байт, детектируется антивирусом
Касперского как Packed.Win32.Krap.x
%Temp%\wpv<rnd2>.exe — 23040 байт, детектируется антивирусом
Касперского как Packed.Win32.Krap.w
%Temp%\wpv<rnd2>.exe — 89088 байт, детектируется антивирусом
Касперского как Packed.Win32.Krap.x
%Temp%\wpv<rnd2>.exe – 53248 байт, детектируется антивирусом
Касперского как Packed.Win32.Krap.x.
После успешного сохранения файлы запускаются на исполнение. Далее вредонос отправляет второй запрос:
GET /pu******r.php?action=report&guid=0&rnd
=8520045&uid=&entity=1260187840
После чего производит запись в свой лог-файл:
```
%Application Data%\wiaservg.log
```
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи ( "Диспетчера задач") завершить процессы по следующей маске:
```
wpv<rnd2>.exe
```
2. Удалить файлы:
```
%Temp%\~TM<rnd>.tmp
%Temp%\wpv<rnd2>.exe
%Application Data%\wiaservg.log
{каталог автозапуска Windows}\isqsys32.exe
```
3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие модификации

Backdoor.Win32.Bredolab.ank

Backdoor.Win32.Bredolab.bvv

Backdoor.Win32.Bredolab.d

Другие названия

Backdoor.Win32.Bredolab.azz («Лаборатория Касперского») также известен как:

TrojanDownloader:Win32/Bredolab.X (MS(OneCare))
Trojan.Botnetlog.11 (DrWeb)
Win32/TrojanDownloader.Bredolab.AA trojan (Nod32)
Trojan.Downloader.Bredolab.I (BitDef7)
Backdoor.Bredolab.AIT (VirusBuster)
Trojan.Win32.Bredolab (Ikarus)
BackDoor.Generic12.JDQ (AVG)
TR/Crypt.XPACK.Gen (AVIRA)
Downloader (NAV)
Trojan.DL.Win32.Undef.flw (Rising)
Backdoor.Win32.Bredolab.axa [AVP] (FSecure)
BKDR_BREDOLAB.CB (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com