BackDoor.Zetbo.1 маскируется под системную службу Windows.
Среди предполагаемых создателей современных вредоносных программ нередко встречаются как жители стран бывшего СССР, так и носители китайского языка — определенные выводы об авторстве тех или иных угроз можно сделать на основе анализа их кода. На этом фоне весьма примечателен бэкдор BackDoor.Zetbo.1, обнаруженный специалистами в конце мая 2014 года, — судя по обилию в его структуре соответствующих строк, разработчиками этого троянца, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции.
Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options. Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: rundll bu dosyayı açamıyor. Dosya çok büyük, что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик». Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троянец завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off.
Основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать хакерам различную информацию о зараженной машине (например, серийный номер жесткого диска). Вместе с тем, весьма любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троянец определяет необходимые для своей работы конфигурационные данные.
Добавлено мной 3.08.2014 в 05:12 по Москве.
Описание
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [\SYSTEM\ControlSet001\services\winpwrmng] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\taskmng.exe'
- '%APPDATA%\Roaming\WinPowerService.exe'
- '%WINDIR%\InstallUtil.exe' %APPDATA%\Roaming\WinPowerService.exe
Запускает на исполнение:
- '\net1.exe' start winpwrmng
- '\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '\sc.exe' query winpwrmng
- '\find.exe' "RUNNING"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\WinPowerService.InstallLog
- %APPDATA%\Roaming\WinPowerService.InstallState
- \Microsoft\Windows\Temporary Internet Files\BayanTelefonListesi.exe
- \InstallUtil.InstallLog
- %WINDIR%\InstallUtil.exe
- %APPDATA%\Roaming\taskmng.exe
- %APPDATA%\Roaming\WinPowerService.exe
Удаляет следующие файлы:
- \InstallUtil.InstallLog
- %APPDATA%\Roaming\WinPowerService.InstallLog
Сетевая активность:
Подключается к:
- '21#.#36.92.3':8500
- '21#.#36.92.2':8500
UDP:
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebCheckMonitor' WindowName: '(null)'
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'MouseZ' WindowName: 'Magellan MSWHEEL'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
Комментарии