Backdoor.Win32.HareBot.avg

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE–EXE файл). Имеет размер 29493 байта. Написана на C++.

Инсталляция

После запуска бэкдор выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:

  MsSyncronizationManager
  MsArbiterManager
  

• Копирует свое тело в файлы:

  %System%\wuaucldt.exe
  %USERPROFILE%\wuaucldt.exe
  

• Для автоматического запуска созданных копий при каждом следующем старте системы создает следующие ключи системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "syncman" = "%System%\wuaucldt.exe"
  
  
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "syncman" = "%USERPROFILE%\wuaucldt.exe"
  

  Ключи создаются в отдельном потоке в бесконечном цикле через каждые 5 секунд, что усложняет процесс удаления бэкдора.
• Запускает созданные копии на выполнение.

Деструктивная активность

После запуска бэкдор запускает на выполнение экземпляр процесса "SVCHOST.EXE", внедряя в его адресное пространство исполняемый код, реализующий следующий функционал:

• создается уникальный идентификатор с именем:

  scmservice_mutex

• Устанавливается соединение с одним из следующих хостов:

  174.***.203
  174.***.201
  174.***.134
  68.***.4
  black.n***tom.com
  che***ash.com
  

• Далее на сервер злоумышленника отправляется GET-запрос, после чего бэкдор переходит в цикл ожидания команд. По команде злоумышленника бэкдор может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как

  %Temp%\nvhg0.tmp

• Кроме того, выполняется запуск новых экземпляров процесса "SVCHOST.EXE", с внедрением в их адресные пространства вредоносного кода. Таким образом, в системе одновременно присутствуют несколько экземпляров процесса "SVCHOST.EXE", реализующих рассмотренный функционал.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
2. Удалить ключи системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "syncman" = "%System%\wuaucldt.exe"
   
   
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "syncman" = "%USERPROFILE%\wuaucldt.exe"
   

3. Удалить файлы:

   %System%\wuaucldt.exe
   %USERPROFILE%\wuaucldt.exe
   %Temp%\nvhg0.tmp
   

4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

• Осуществляет сетевую активность

Технические детали

Имеет размер 29493 байт.

Инсталляция

Создает следующие файлы на зараженном компьютере:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dllcache\cdrom.sys

Вредоносная активность

Внедряет свой код в следующие процессы:

• svchost.exe

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdrom.sys

Путем создания (изменения) файлов в системной директории C:\WINDOWS\System32\DllCache скрывает активность и обеспечивает автозагрузку следующих файлов:

• cdrom.sys

Создает соединение со следующими адресами в Интернете:

• www.***edrogarias.com.br:47873
• ***.ces.kyutech.ac.jp:47873
• ***.aukro.ua:47873
• ***um.gryada.org.ua:47873
• ***.broadserver.jp:47873
• ***.rentalserver.jp:47873
• ***sletter.gov-online.go.jp:47873
• ***7.wadax.ne.jp:47873
• ***.com.ua:47873
• www.***vnet.jp:47873
• www.***.co.jp:47873
• ***ther.co.ua:47873
• www.***ateparty.in.ua:47873
• ***kweb.kinokuniya.co.jp:47873
• www.***dd.jp:47873
• ***.form-mailer.jp:47873
• www.***f.or.jp:47873
• ***bal-host.com.ua:47873
• www.***tex.jp:47873
• www.***ez.org.ua:47873
• www.***ow.co.jp:47873

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

• scmservice_mutex
• mutogen99951
• mutogen27429
• mutogen70684

Прочие действия

Производит запуск следующих файлов (команд):

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\svchost.exe (­осуществляется многократный запуск­)

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft ] "OSVersion" = "209710"

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "Regedit32" = " Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\regedit.exe"

Описание:
­Используется для автозапуска файлов при загрузке ОС Windows­

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>