PDA

Просмотр полной версии : Backdoor.Win32.Agent.cns



rubin
11.12.2007, 21:04
Попробую себя в этом амплуа :)

Backdoor, как правило, загружается через вредоносный скрипт, встроенный в код сайта. При выполнении скрипта на компьютер загружается файл actxprxyn.exe размером 10752 байт, сохраняется в %System32%. Прописывается как служба

"Рабочая станция lanmanworkshipRpcSs - Unknown owner"
в реестре создаются ключи
HKLM\System\CurrentControlSet\Services\lanmanworks hipRpcSs
HKLM\System\ControlSet00?\Services\lanmanworkshipR pcSs
Затем программа загружает kcp.sys размером 4224 байта и lehx.exe размером 71915 байта. После этого lehx.exe устанавливает соединение с узлами

195.5.117.232
194.67.23.20
72.14.215.27
64.233.183.27
66.111.474
и прочими по 25 порту, осуществляя почтовые спам-рассылки.

Kcp.sys прописывается в %System32%\drivers, создает ключи в реестре
HKLM\System\CurrentControlSet\Services\kcp
HKLM\System\ControlSet00?\Services\kcp
и с помощью руткит-технологий скрывает lehx.exe, находящийся в %UserProfile%\Local Settings\Temp, вследствие чего AVZ не может собрать информацию об этом файле.
Но сам kcp.sys вполне виден в "Модулях пространства ядра".