VirusHunter предупреждает всех пользователей ПК об обнаружении новой троянской программы Backdoor.ClassWork.puncher, предназначенной для скрытного удаленного контроля пораженного компьютера во время работы в сети Интернет...


1. Предварительная информация.

Троянская программа Backdoor.ClassWork.puncher была выявлена в "диком виде" (не была известна антивирусным программам) моим знакомым в одной из машин компьютерного класса Черновицкого Госуниверситета. Как оказалось позднее, данный зловред был распространен по локальным сетям университета студентом 2-го курса информатики, который похищал при помощи троянца конфиденциальную информацию из компьютеров преподавателей и лаборантов, в частности - некоторую документацию, логины и пароли для подключения к сети Интернет, а также администраторские пароли для получения доступа к компьютерам класса информатики. Сам этот факт является наглядным примером как НЕ нужно применять полученные знания.
Самостоятельно программа распространяться не может, поэтому вряд ли заражение ей сможет приобрести массовый характер. Однако, несмотря на относительно малый набор вредоносных функций, троянец может привести к реальной утечке конфиденциальных пользовательских данных, а также стать причиной заражения машины др. вредоносными программами.
Backdoor.ClassWork.puncher является Windows-программой размером 126976 байт, написанной на языке Pascal for Windows. Название обнаруженного вредоносного файла было scanned .exe (между именем файла и разделительной точкой его расширения добавлен пробел). Для маскировки бэкдор содержит в себе иконку-индикатор его файла, которая абсолютно идентична иконкам папок. Если к тому же учесть тот факт, что "по умолчанию" в Проводнике Windows зарегистрированные расширения файлов (включая и "EXE") не показываются, то внешне файл бэкдора будет выглядеть в списке прочих файлов и папок так:


Таким образом, при нажатии пользователя на данную иконку бэкдор будет запущен на выполнение, но видимо будет создаваться иллюзия того, что "папка" scanned по непонятным причинам просто не открывается.


2. Инсталляция троянца в систему.

При запуске файл scanned .exe пытается инициализировать местоположение общего каталога (для всех пользователей компьютера) автозагрузки программ системного реестра, чтобы создать там свою копию. Под Windows 2K/XP эта процедура работает корректно и бэкдор копирует себя в нижеуказанный системный подкаталог в виде файла

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\s.exe

для англо-язычных версий Windows соответственно

C:\Documents and Settings\All Users\Start menu\Programs\Startup\s.exe

Если файл s.exe уже существует (например, если пользователь дважды запустил вредоносный файл), то бэкдор перезаписывает его. При этом перезапись возможна только в том случае, если файл s.exe не запущен на выполнение и ему не присвоены атрибуты "скрытый", "системный" или "только для чтения".
Будучи записанным в данный каталог, файл s.exe будет автоматически запускаться на выполнение при каждом старте системы независимо от текущего пользователя, а scanned .exe отработает лишь текущую загрузку Windows (во время которой произошла инсталляция в систему) и в дальнейшем может быть активизирован только при непосредственном участии пользователя.
Под Windows 9X/ME вышеописанная процедура инсталляции содержит ошибку - бэкдор использует специальный запрос при инициализации общего каталога автозагрузки, который (запрос) не поддерживается в данных версиях ОС Windows. В результате, вместо общего каталога автозагрузки троянец копирует свою копию s.exe в текущий каталог (т.е. в тот, где расположен запущенный исходный файл scanned .exe). В этом случае бэкдор (scanned .exe) будет работать лишь до завершения работы Windows и после перезапуска компьютера файл s.exe не сможет автоматически получить управление.
Чтобы предотвратить свой повторный запуск в том случае, когда одна копия бэкдор-программы уже загружена в память, троянец считывает из своего кода некоторую последовательность байт и располагает ее в памяти Windows как "метку"-идентификатор своего присутствия в системе. При обнаружении данной "метки" повторно запущенная копия троянца завершает свою работу - таким образом, в памяти Windows может присутствовать только одна 1 копия бэкдора.


3. Вредоносные действия.

Сразу же после своего запуска троянец проверяет подключение машины к сети Интернет. Если подключение отсутствует, то бэкдор как бы "засыпает" в памяти, осуществляя лишь некоторые перехваты системных вызовов, связанные с Интернет-подключением. Если же подключение активно, то троянец проверяет доступность 30534-го порта, открывает его и пытается найти в Интернете сервер, в домене которого содержится следующий фрагмент:

ua.fm

Если такой сервер найден, то троянец пытается отослать на него запрос в виде кодового слова

helo

Если сервер отвечает на запрос, то бэкдор генерирует почтовое послание с такими параметрами:

В поле "От": Puncher

Адрес отправителя: van324@ua.fm

В поле "Кому": 1v@n

В поле "Копия": van324@ua.fm

Тема послания: was infected

В послании также указывается текущий IP-адрес пораженного компьютера в сети Интернет. Чтобы отослать послание, троянец использует прямое подключение к следующему серверу отправки почтовых сообщений:

smtp.ua.fm

Далее бэкдор контролирует вышеуказанный порт, ожидая приема команд с машины злоумышленника.
Таким образом, злоумышленник (или злоумышленники, ведь почтовых адресов 2 ?!) получает в режиме реального времени письмо, в котором указан IP-адрес пораженного компьютера, подключенного в данный момент к сети Интернет и негласно ожидающего приема команд с удаленной машины через 30534-й порт (бэкдор). Это дает ему (злоумышленнику) реальную возможность установить при помощи бэкдора скрытное подключение к пораженной машине с последующим получением полного контроля на ней - например, установить на нее через указанный порт какую-либо специализированную вредоносную программу для управления системными и пользовательскими ресурсами. Возможные негативные последствия такого удаленного "администрирования", на мой взгляд, нет необходимости объяснять.


4. Прочие действия бэкдора.

Кроме вышеописанных вещей, вне зависимости от подключения к Интернету, троянец осуществляет следующие действия:

 - при запуске передергивает флоппи-дисковод, причем при наличии дискеты ничего не пытается писать или читать с нее;

 - проверяет подключение сетевого диска в локальной (офисной) сетке, которому в общем списке присвоено имя "Z". Если такой найден, то бэкдор проверяет в корне этого диска наличие каких-то файлов, не содержащих в своих названиях расширения:

Z:\*.

Подключение данного диска бэкдор пытается определить при помощи обращения к нему с последующим перехватом возвращаемого системой сообщения "Отказ в доступе" (в том случае, если содержимое диска недоступно для просмотра, или диск Z: просто отсутствует в сети);

 - пытается искать на зараженном компьютере какой-то EXE-файл, не содержащий имени, т.е. .exe.

Для чего производятся все эти действия - непонятно (расчет под конкретно взятую схему соединения компьютеров в Черновицком Госуниверситете?).
Также в коде бэкдора присутствует фрагмент процедуры тестирования его программы под отладчиком во время компиляции:

E:\Ck\Puncher\Debug\Puncher.pdb


5. Детектирование и удаление троянской программы.

Backdoor.ClassWork.puncher (файл scanned .exe) был отослан инженерам Антивирусной Лаборатории Евгения Касперского и на данный момент детектируется под такими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Backdoor.Win32.Agent.ahp (включен в антивирусную базу 24.09.2006)

Антивирус BitDefender Professional: Backdoor.Agent.AHP (включен в антивирусную базу 08.08.2007)

Антивирус DrWeb: Trojan.Punsher (включен в антивирусную базу 03.09.2007)

При обнаружении в машине данной троянской программы необходимо удалить файл

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\s.exe

для англо-язычных версий Windows соответственно

C:\Documents and Settings\All Users\Start menu\Programs\Startup\s.exe

, после чего необходимо перезагрузить компьютер и удалить файл scanned .exe. Если же файл s.exe не получилось удалить (в том случае, если он уже получил управление), или не удалось обнаружить вредоносный файл scanned .exe, то рекомендую проверить все жесткие диски машины установленным на ней антивирусом, предварительно обновив его антивирусную базу. Для рядового пользователя это, на мой взгляд, самый оптимальный вариант.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 28.09.2006
Дата внесения последних изменений: 03.09.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00155901908875