Безопасность

Вирус Backdoor.Win32.Cetorp.p

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 88576 байт. Упакована UPX. Распакованный размер – около 155 КБ. Написана на C++.
Инсталляция

После запуска бэкдор выполняет следующие действия:
удаляет файлы:

%WorkDir%netsf.inf
%WorkDir%netsf_m.inf

Извлекает из своего тела файл, который сохраняется в системе под следующими именами:

%USERPROFILE%secupdat.dat
%System%secupdat.dat

Файл имеет размер 71168 байт; детектируется Антивирусом Касперского как «Backdoor.Win32.Cetorp.p».
Расшифровывает содержимое извлеченного файла и внедряет его в адресное пространство процесса «SVCHOST.EXE».
Для удаления своего оригинального файла после завершения его работысоздает сценарий командного интерпретатора
%Temp%.bat
где – случайное четырехзначное десятичное число следующего содержания:@echo off
:ab
del «<полный путь к оригинальному файлу бэкдора>»>nul
if exist «<полный путь к оригинальному файлу бэкдора>» goto ab
del «%0»
Запускает на выполнение созданный сценарий и завершает свою работу. При этом сам сценарий также удаляется.

По команде злоумышленника бэкдор может рассылать спам, соединяясь через 25-й TCP-порт со следующими почтовыми серверами:
mail.ru
google.com
yahoo.com
microsoft.com

Кроме того, бэкдор может загружать файлы со следующих хостов:
123.***.89
95.***.132
212.***.52
rgtry***ddtyh.biz
wertd***rukl.ch

Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя «%Temp%».

Сведения о текущей конфигурации бэкдора сохраняются в файле:

%USERPROFILE%Local SettingsApplication
DataMicrosoftWindowsUsrClass.dat.tmp

а также в ключе системного реестра:

[HKLMSoftwareMicrosoftDeviceControl]
"DevData"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Перезагрузить компьютер.
Удалить файлы:

%USERPROFILE%secupdat.dat
%System%secupdat.dat
%USERPROFILE%Local SettingsApplication
MicrosoftWindowsUsrClass.dat.tmp

Удалить ключ системного реестра (как работать с реестром?):

[HKLMSoftwareMicrosoftDeviceControl]
"DevData"

Удалить загруженные бэкдором файлы в каталоге «%Temp%».
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить!

Средний рейтинг 0 / 5. Голосов: 0

Пока оценок нет! Будьте первым, поставь свою оценку этому посту.

Мы сожалеем, что этот пост не был полезен для вас!

Давайте улучшим этот пост!

Расскажите, как мы можем улучшить этот пост?

Источник
Securelist
Подписаться
Уведомление о
guest

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

0 Комментарий
Inline Feedbacks
View all comments
Back to top button
0
Would love your thoughts, please comment.x
()
x