Показано с 1 по 1 из 1.

Новый тип Backdoor - вероятно Backdoor.Delf.??

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Новый тип Backdoor - вероятно Backdoor.Delf.??

    Сегодня одним из посетителей конференции прислан на анализ любопытный Backdoor. Вот описание самого пользователя:
    Это закинули по локалке(расшареная папка с правом записи). Оно было упаковано в самораспаковывающийся
    RAR архив с заманчивым названием. В архиве , кроме этого файла, был
    простенький скрипт на Яве, который прописывал этот файл в
    автозагрузку. Скрипт выполнялся при запуске архива.
    После запуска оно отсылает запрос на UDP порт 777 на адрес
    255.255.255.255 и висит в памяти, открыв порт UDP 666.
    Проблема в том, что АВП на эту штуку никак не реагирует.
    Может самописный какой троян?
    Может быть это вас заинтересует... а может и нет..
    Присланный файл имеет размер 570368 байта и имя Server12.exe.
    Его экспресс-анализ:
    1. Не работает под Win 98 из-за статического импорта API, специфичных
    для NT
    2. Написан на Delphi, сжатия и защиты кода нет. Содержит только одну
    форму. Работа с сетью через компоненты Indy.

    При запуске не проявляет своего присутствия, хотя в списке процессов
    виден. В момент старта шлет бродкаст по UDP (source port 666, dest
    777) с текстом "raport xxx.xxx.xxx.xxx" - где на месте xxx - IP адрес
    пораженного ПК. Прием команд ведется по UDP протоколу, порт 666.
    Ответы идут на порт 777. Входящие команды чувствительны к регистру,
    шифроются при помощи xor каждого символа строки с числом 24.
    Поддерживаются команды:
    refresh
    find
    screen (по ней снимается копия экрана)
    PowerOff - отключение питания
    FastPowerOff - отключение питания
    Restart - перезагрузка
    FastRestart
    Lock (вызывает API LockWorkStation)
    MonOff (отключает монитор)
    CDOpen (Открытие лотка CD при помощи MSI команды 'SET CDAUDIO DOOR OPEN WAIT&#039
    Start, exec - запуск программы через *shell32:ShellExecuteA
    KillProc - убиение процесса
    info - получение данных о юзере
    ...... - команд у него тьма - еще штук 20

    Может менять ключ 'SOFTWARE\RAdmin\v1.01\ViewType' -
    записывает в него переметр "data".

    По команде 'ChangePassword' выполняет интересные операции с
    "SYSTEM\RAdmin\v2.0\Server\Parameter" - в частности, параметрами
    DisableRedirect, DisableScreen, Disablefile, Disabletelnet,
    DisableTrayIcon, FilterIp, DisableBeep ...
    т.е. переконфигурирует RAdmin под себя - короче говоря, он действует
    по иструкции типа http://www.xakepy.ru/archive/index.php/t-1687.html

    Антивирусы его пока не детектируют, поэтому имя вируса пока не присвоено ...

    Обнаружить вирус можно, проанализировав прослушиваемые порты TCP/UDP - порты 666 и 777 UDP не используются системными службами

  2. Реклама
     

Похожие темы

  1. Backdoor.Win32.Delf.vsw
    От Lw? в разделе Описания вредоносных программ
    Ответов: 1
    Последнее сообщение: 30.11.2010, 19:54
  2. Ответов: 7
    Последнее сообщение: 22.02.2009, 05:30
  3. Не новый BackDoor.IRC.Evil ...
    От Nikos в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 22.02.2009, 02:01
  4. Компьютер заражен Backdoor.Win32.Delf.aws
    От temnovdn в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 02.12.2008, 10:35
  5. Backdoor.Daodan, Backdoor.Delf
    От sibdvor в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.07.2008, 17:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00496 seconds with 18 queries