Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 88576 байт. Упакована UPX. Распакованный размер – около 155 КБ. Написана на C++.
Инсталляция
После запуска бэкдор выполняет следующие действия:
удаляет файлы:
%WorkDir%netsf.inf %WorkDir%netsf_m.inf
Извлекает из своего тела файл, который сохраняется в системе под следующими именами:
%USERPROFILE%secupdat.dat %System%secupdat.dat
Файл имеет размер 71168 байт; детектируется Антивирусом Касперского как «Backdoor.Win32.Cetorp.p».
Расшифровывает содержимое извлеченного файла и внедряет его в адресное пространство процесса «SVCHOST.EXE».
Для удаления своего оригинального файла после завершения его работысоздает сценарий командного интерпретатора
%Temp%.bat
где – случайное четырехзначное десятичное число следующего содержания:@echo off
:ab
del «<полный путь к оригинальному файлу бэкдора>»>nul
if exist «<полный путь к оригинальному файлу бэкдора>» goto ab
del «%0»
Запускает на выполнение созданный сценарий и завершает свою работу. При этом сам сценарий также удаляется.
По команде злоумышленника бэкдор может рассылать спам, соединяясь через 25-й TCP-порт со следующими почтовыми серверами:
mail.ru
google.com
yahoo.com
microsoft.com
Кроме того, бэкдор может загружать файлы со следующих хостов:
123.***.89
95.***.132
212.***.52
rgtry***ddtyh.biz
wertd***rukl.ch
Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя «%Temp%».
Сведения о текущей конфигурации бэкдора сохраняются в файле:
%USERPROFILE%Local SettingsApplication DataMicrosoftWindowsUsrClass.dat.tmp
а также в ключе системного реестра:
[HKLMSoftwareMicrosoftDeviceControl] "DevData"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Перезагрузить компьютер.
Удалить файлы:
%USERPROFILE%secupdat.dat %System%secupdat.dat %USERPROFILE%Local SettingsApplication MicrosoftWindowsUsrClass.dat.tmp
Удалить ключ системного реестра (как работать с реестром?):
[HKLMSoftwareMicrosoftDeviceControl] "DevData"
Удалить загруженные бэкдором файлы в каталоге «%Temp%».
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
