PDA

Просмотр полной версии : Новый тип Backdoor - вероятно Backdoor.Delf.??



Зайцев Олег
10.02.2005, 15:14
Сегодня одним из посетителей конференции прислан на анализ любопытный Backdoor. Вот описание самого пользователя:

Это закинули по локалке(расшареная папка с правом записи). Оно было упаковано в самораспаковывающийся
RAR архив с заманчивым названием. В архиве , кроме этого файла, был
простенький скрипт на Яве, который прописывал этот файл в
автозагрузку. Скрипт выполнялся при запуске архива.
После запуска оно отсылает запрос на UDP порт 777 на адрес
255.255.255.255 и висит в памяти, открыв порт UDP 666.
Проблема в том, что АВП на эту штуку никак не реагирует.
Может самописный какой троян?
Может быть это вас заинтересует... а может и нет..
Присланный файл имеет размер 570368 байта и имя Server12.exe.
Его экспресс-анализ:
1. Не работает под Win 98 из-за статического импорта API, специфичных
для NT
2. Написан на Delphi, сжатия и защиты кода нет. Содержит только одну
форму. Работа с сетью через компоненты Indy.

При запуске не проявляет своего присутствия, хотя в списке процессов
виден. В момент старта шлет бродкаст по UDP (source port 666, dest
777) с текстом "raport xxx.xxx.xxx.xxx" - где на месте xxx - IP адрес
пораженного ПК. Прием команд ведется по UDP протоколу, порт 666.
Ответы идут на порт 777. Входящие команды чувствительны к регистру,
шифроются при помощи xor каждого символа строки с числом 24.
Поддерживаются команды:
refresh
find
screen (по ней снимается копия экрана)
PowerOff - отключение питания
FastPowerOff - отключение питания
Restart - перезагрузка
FastRestart
Lock (вызывает API LockWorkStation)
MonOff (отключает монитор)
CDOpen (Открытие лотка CD при помощи MSI команды 'SET CDAUDIO DOOR OPEN WAIT')
Start, exec - запуск программы через *shell32:ShellExecuteA
KillProc - убиение процесса
info - получение данных о юзере
...... - команд у него тьма - еще штук 20

Может менять ключ 'SOFTWARE\RAdmin\v1.01\ViewType' -
записывает в него переметр "data".

По команде 'ChangePassword' выполняет интересные операции с
"SYSTEM\RAdmin\v2.0\Server\Parameter" - в частности, параметрами
DisableRedirect, DisableScreen, Disablefile, Disabletelnet,
DisableTrayIcon, FilterIp, DisableBeep ...
т.е. переконфигурирует RAdmin под себя - короче говоря, он действует
по иструкции типа http://www.xakepy.ru/archive/index.php/t-1687.html

Антивирусы его пока не детектируют, поэтому имя вируса пока не присвоено ...

Обнаружить вирус можно, проанализировав прослушиваемые порты TCP/UDP - порты 666 и 777 UDP не используются системными службами