компьютерный форум
Вернуться   Компьютерный форум > Программирование и вебстроительство > Программирование > Заказы на разработку ПО и сайтов > Защита информации > Компьютерные вирусы и борьба с ними

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 05.02.2011, 12:49   #1
Пользователи
 
Регистрация: 21.12.2007
Сообщений: 161
Thumbs up Backdoor.Win32. Hupigon.cpu

Бекдор, выполняющий деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер около 730 КБ. Написана на Borland Delphi.

Инсталляция

Функционал вредоносной программы зависит от опций, заданных при её генерации.

После запуска троянец производит сравнение своего имени со строкой "IEXPLORE.EXE". Если вредоносный код не расположен внутри зараженного процесса, то выполняются следующие действия.

Бекдор получает букву логического диска (%SysChar%), на котором расположен системный каталог Windows. Используя эту букву, троян формирует такую строку:

%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe

Далее производится сравнение имени запущенной программы с данной строкой.

Если имена не совпали, происходит инсталляция вредоносной программы в систему; в противном случае бекдор переходит к деструктивной деятельности.

Процесс инсталляции заключается в следующем. Создается копия файла вредоносной программы с именем "Ahntdce.exe" в папке

%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Ahntdce.exe

Если такой файл уже существует, то перед копированием он удаляется. Скопированному файлу устанавливаются файловые атрибуты "только чтение" и "системный".

После этого производится проверка семейства, к которому относится текущая ОС, что определяет метод регистрации автозапуска копии вредоносной программы.

Для семейства Windows NT выполняется создание системной службы, которая видна в списке служб под именем


"AhnLab Tdce Scheduler"

Запускается автоматически вместе с системой и является интерактивной службой.

Для семейства Windows 9X выполняется регистрация автозапуска в реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Ahntdce.exe" = "%SysChar%:\Program Files\Common Files\
Microsoft Shared\MSINFO\Ahntdce.exe"

Далее (независимо от типа ОС) происходит запуск копии вредоносной программы.

Затем в каталоге с копией бекдора создается и запускается пакетный файл командного интерпретатора с именем "Delet.bat", выполняющий удаление оригинального файла вируса и самого себя:

%SysChar%:\Program Files\Common Files\Microsoft Shared\MSINFO\Delet.bat

Деструктивная активность

Если вредоносная программа обнаружила, что она является установленной копией, производится вызов браузера Internet Explorer:


%SysChar%:\Program Files\Internet Explorer\IEXPLORE.EXE

Выполняется считывание в память вирусного файла, его корректировка и внедрение в процесс "IEXPLORE.EXE" целиком.

После чего бекдор проверяет наличие сети, и если она доступна, производит анализ Internet-адреса, заданного в коде вредоносной программы. Если это ссылка на файл, то происходит его чтение и получение строки, в которой будут находиться имя сервера и порт. Либо имя сервера и порт могут быть заданы изначально. В данном случае это:

sx.code***.org:8080

Далее устанавливается соединение с этим удаленным сервером.

Бекдор осуществляет формирование строки, содержащей информацию о компьютере пользователя:

%SomeString1%%IsCaptureDriver%%ComputerName%
%DefaultNetworkPassword%%OsName%%CpuSpeed% MHz
%MemorySize%MB%SomeString2%%SomeString3%

Строка эта зашифровывается и отправляется на удаленный сервер.

После создается поток, в котором происходит прослушивание команд, поступающих с сервера.

Вредоносной программой может быть устанавлен перехват оконных сообщений для ведения клавиатурного лога, создание снимков экрана.

Бекдор может изменять домашнюю страницу браузера:

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"

Есть опасность того, что троянец разрешит запуск терминалов для получения удаленного доступа компьютеру пользователя:

[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0x00000000

Также Backdoor.Win32.Hupigon.cpu имеет возможность получать список процессов, завершать выбранный процесс, производить поиск файлов, получать список файлов и передавать указанные файлы, создавать и удалять указанные файлы, загружать дополнительные модули и работать с ними и многое другое.




семенчик вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
05.02.2011, 12:49
Техник
реклама
Thumbs up Backdoor.Win32. Hupigon.cpu

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 09:47. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2