Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 09.04.2010, 20:52

Backdoor.Win32. IRCBot.oml

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB.
Инсталляция

После запуска бэкдор выполняет следующие действия:
Копирует себя по пути:
%System%\drivers\BSyBT.exe
Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\
Explorer\Run] “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“Microsoft Driver Setup” = %System%\drivers\BSyBT.exe
Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:
[HKLM\System\CurrentControlSet\Services\SharedAcces s\
Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List]
"<путь к оригинальному файлу троянца>" =
"< путь к оригинальному файлу троянца> :*:
C:\WINDOWS\system32\drivers\BSyBT.exe
Распространение

Бэкдор копирует свое тело на все доступные для съемные диски под именем:
RECYCLER\S-51-9-25-3434476501-1644491933-
601013360-1214\BSyBT.exe

Вместе со своим исполняемым файлом бэкдор помещает файл:
< имя зараженного раздела >:\autorun.inf
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность

Программа соединяется с серверами IRC:
java.kutlufamily.com
java.baldmanpower.com
java.baldmanpower.net
java.baldmanpower.org
и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:
сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами;
копирование и запуск себя на уязвимых машинах;
загрузка и запуск на зараженном компьютере различных файлов;
остановка процессов различных антивирусных программ и отладчиков;
отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию;
выполнение на зараженном компьютере различных команд;
и другое.

09.04.2010, 20:52	#2
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Всё о вирусах Backdoor.Win32. IRCBot.oml Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB. Инсталляция После запуска бэкдор выполняет следующие действия: Копирует себя по пути: %System%\drivers\BSyBT.exe Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\ Explorer\Run] “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “Microsoft Driver Setup” = %System%\drivers\BSyBT.exe Добавляет свой исполняемый файл в список исключений в Windows XP Firewall: [HKLM\System\CurrentControlSet\Services\SharedAcces s\ Parameters\FirewallPolicy\StandardProfile\Authoriz edApplications\List] "<путь к оригинальному файлу троянца>" = "< путь к оригинальному файлу троянца> :*: C:\WINDOWS\system32\drivers\BSyBT.exe Распространение Бэкдор копирует свое тело на все доступные для съемные диски под именем: RECYCLER\S-51-9-25-3434476501-1644491933- 601013360-1214\BSyBT.exe Вместе со своим исполняемым файлом бэкдор помещает файл: < имя зараженного раздела >:\autorun.inf что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Деструктивная активность Программа соединяется с серверами IRC: java.kutlufamily.com java.baldmanpower.com java.baldmanpower.net java.baldmanpower.org и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью: сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами; копирование и запуск себя на уязвимых машинах; загрузка и запуск на зараженном компьютере различных файлов; остановка процессов различных антивирусных программ и отладчиков; отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию; выполнение на зараженном компьютере различных команд; и другое. __________________