Безопасность

Вирус Backdoor.Win32.Cetorp.p

ADVERTISEMENT

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 88576 байт. Упакована UPX. Распакованный размер – около 155 КБ. Написана на C++.
Инсталляция

ADVERTISEMENT

После запуска бэкдор выполняет следующие действия:
удаляет файлы:

%WorkDir%netsf.inf
%WorkDir%netsf_m.inf

Извлекает из своего тела файл, который сохраняется в системе под следующими именами:

%USERPROFILE%secupdat.dat
%System%secupdat.dat

Файл имеет размер 71168 байт; детектируется Антивирусом Касперского как «Backdoor.Win32.Cetorp.p».
Расшифровывает содержимое извлеченного файла и внедряет его в адресное пространство процесса «SVCHOST.EXE».
Для удаления своего оригинального файла после завершения его работысоздает сценарий командного интерпретатора
%Temp%.bat
где – случайное четырехзначное десятичное число следующего содержания:@echo off
:ab
del «<полный путь к оригинальному файлу бэкдора>»>nul
if exist «<полный путь к оригинальному файлу бэкдора>» goto ab
del «%0»
Запускает на выполнение созданный сценарий и завершает свою работу. При этом сам сценарий также удаляется.

По команде злоумышленника бэкдор может рассылать спам, соединяясь через 25-й TCP-порт со следующими почтовыми серверами:
mail.ru
google.com
yahoo.com
microsoft.com

Кроме того, бэкдор может загружать файлы со следующих хостов:
123.***.89
95.***.132
212.***.52
rgtry***ddtyh.biz
wertd***rukl.ch

Загруженные файлы сохраняются в каталоге хранения временных файлов текущего пользователя «%Temp%».

Сведения о текущей конфигурации бэкдора сохраняются в файле:

%USERPROFILE%Local SettingsApplication
DataMicrosoftWindowsUsrClass.dat.tmp

а также в ключе системного реестра:

[HKLMSoftwareMicrosoftDeviceControl]
"DevData"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Перезагрузить компьютер.
Удалить файлы:

%USERPROFILE%secupdat.dat
%System%secupdat.dat
%USERPROFILE%Local SettingsApplication
MicrosoftWindowsUsrClass.dat.tmp

Удалить ключ системного реестра (как работать с реестром?):

[HKLMSoftwareMicrosoftDeviceControl]
"DevData"

Удалить загруженные бэкдором файлы в каталоге «%Temp%».
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Source
Securelist
ADVERTISEMENT
Подписаться
Уведомить о
guest

0 Comments
Межтекстовые Отзывы
Посмотреть все комментарии