VirusHunter предупреждает всех пользователей ПК о распространении очень опасной троянской программы Backdoor.NetOctopus.A, позволяющей скрытно получать абсолютный контроль над зараженными компьютерами через сеть Интернет, а также формировать сети "зомби"-машин для атак на различные Web-ресурсы...


Технические определения, встречающиеся в описании.

HTTP - Hypertext Transfer Protocol. Протокол передачи гипертекстовых файлов (протокол уровня приложений для распределенных информационных систем гипермедиа, позволяющий общаться системам с различной архитектурой; используется при передаче HTML-файлов по Web-сети);

Telnet - сетевой теледоступ. Протокол виртуального терминала в наборе протоколов, применяемых в сети Интернет, позволяющий пользователям одного компьютера подключаться к др. удаленному компьютеру и работать с ним как через обычный терминал;

FTP - File Transfer Protocol. Протокол передачи файлов в сети Интернет между двумя и более компьютерами;

TFTP - Trivial File Transfer Protocol. Простейший протокол передачи данных, являющийся упрощенным вариантом FTP-протокола и поддерживающий простую передачу данных между двумя системами без аутентификации доступа;

SMB - Server Message Block. Протокол, разработанный Microsoft, Intel и IBM, определяющий регламент совместного использования файлов компьютерами в сети и отвечающий за структуризацию запросов и связь с различными ОС; аналогичен NCP (NetWare Core Protocol) - основному протоколу, применяемому для передачи информации между сервером NetWare и его клиентами в сети;

ICMP - Internet Control Message Protocol. Протокол управляющих сообщений в сети Интернет (один из четырех протоколов межсетевого уровня семейства TCP/IP, обеспечивающий восстановление связи при сбойных ситуациях в передаче пользовательских пакетов);

Ping - Packet InterNet Groper. Отправитель пакетов Интернет (программа, используемая для проверки доступности адресата путем передачи ему специального сигнала - запрос отклика ICMP, и ожидания ответа на посланный сигнал);

Cisco - компания "Cisco Systems". Производитель сетевого оборудования, а также принадлежащая ей торговая марка. Данная компания также разработала собственный стандарт структуры сетей, широко применяемый на западе (детально о данном стандарте и структуре Cisco-сетей Вы можете прочитать в технической литературе);

"Зомби"-сеть - совокупность компьютеров Интернет-сети, зараженных специализированными вредоносными программами (далее по тексту - просто "ВПО"). При подключении к сети Интернет данное ВПО получает команды с удаленных компьютеров злоумышленников, при помощи которых последние могут объединять все зараженные компьютеры в одно целое (т.е. зомби-сеть), как инструмент для осуществления различных целенаправленных атак на различные Web-ресурсы. Как правило, данные действия производятся с целью взлома или нарушения нормальной работоспособности Web-ресурсов, на которые производится атака;

DDoS-атака - Distributed Denial of Service Attack. Один из самых распространенных видов сетевых атак, который заключается в многочисленных бессмысленных запросах, обращенных со всех компьютеров зомби-сети к указанному злоумышленниками Web-адресу. Результатом данной атаки, как правило, является частичная или даже полная блокировка атакуемого ресурса за счет сильной загруженности трафика и неспособностью сервера-жертвы справиться с обработкой всех этих многочисленных запросов, исходящих от зомби-компьютеров. При этом цели, которые преследуют злоумышленники, могут быть различными - от показа своей силы в сети до вымогательства денежных средств у хозяев атакуемых ресурсов (например, владельцев Интернет-магазинов);

IRC - Internet Relay Chat. Интернетовские посиделки (чат) - глобальная система, посредством которой пользователи могут общаться друг с другом, обмениваясь при этом как голосовыми, так и видео сообщениями в режиме реального времени. Для таких приватных разговоров используются специальные программы - mIRC-клиенты;

%windir% - стандартная техническая переменная, используемая в ОС Windows при указании названия и местоположения каталога, в который установлена последняя.


1. Источники попадания и инсталляция трянца Backdoor.NetOctopus.A в систему.

Троянская программа может попадать в компьютер через сеть Интернет путем использования различных уязвимостей в ОС Windows. Первичный файл троянца записывается в следующий системный подкаталог:

для Windows 9X/ME:

%windir%\SYSTEM\msc.exe

для Windows 2K/XP:

%windir%\System32\msc.exe

Файл имеет размер 393728 байт, сжат утилитой компрессии "ASProtect" версии 2.1 (размер декомпрессированного файла, в приближении к оригинальному, составляет более 1.2 Мб), написан на языке MS Visual C++.
При запуске троянец создает в том же системном подкаталоге, в котором находится его исходный файл, свою копию под нижеприведенным названием:

для Windows 9X/ME:

%windir%\SYSTEM\wuauclt7.exe

для Windows 2K/XP:

%windir%\System32\wuauclt7.exe

Для маскировки данному файлу присваиваются: дата - 17.08.2004, время модификации - 16.04 (секунды присваиваются случайным образом). Эти величины соответствуют дате модификации системных компонентов в пакете обновления Service Pack 2 для Windows XP. Также файлу присваиваются атрибуты "archive", "hidden", "system" и "read only" ("архивный", "скрытый", "системный" и "только для чтения" соответственно). Благодаря 2-му и 3-му из указанных атрибутов, троянский файл не будет виден при настройках "по умолчанию" в Проводнике Windows, а также в пользовательской программе-менеджере для работы с файлами и папками Total Commander.
Файл msc.exe запускает копию wuauclt7.exe на выполнение и, таким образом, до первого перезапуска системы в памяти компьютера активными остаются обе копии троянца.
Для возможности автоматического запуска троянского файла wuauclt7.exe при каждом последующем старте Виндовс в ключах автозапуска системного реестра создаются следующие записи:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows-Xordate"="wuauclt7.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows-Xordate"="wuauclt7.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows-Xordate"="wuauclt7.exe"


Благодаря этим записям, троянец активизируется системой и как пользовательское приложение, и как сервис под названием "Windows-Xordate". При этом, несмотря на то, что в системной памяти остается только одна копия троянца (для этого он загружает в нее какую-то метку-"идентификатор" своего присутствия в системе), под Windows 9X/ME вредоносный процесс wuauclt7.exe не будет фигурировать ни в одном из листингов активных процессов, что также затрудняет его обнаружение.
Бэкдор остается активным вплоть до завершения работы системы.


2. Удаленное администрирование компьютера-жертвы.
Похищение пользовательской информации.
Организация зомби-сетей для атак на др. компьютеры.

При подключении зараженного компьютера к сети Интернет троянец пытается установить соединение со следующими удаленным серверами злоумышленников:

69.89.25.186
ns0.rtlplus.net
ns1.rtlplus.net


и что-то вроде

zry.N_password.dde

В процессе связи и авторизации с серверами бэкдор использует следующие строки:

KTHXBYE
woootwoootwoootwoootwoootwoootwoootwoootwoootwooot
schakkalakkawooooot!!!!


Судя по формату данных, которые бэкдор отсылает/принимает на эти сервера, злоумышленники работают под ОС Unix с использованием спец. графического интерфейса "Cyberspace". При этом соединение с зараженным компьютером производится на 42778-м порту.
Если соединение с сервером удалось, то троянец ждет команд от злоумышленников. Функционал бэкдора весьма обширный и сложный, что свидетельствует о высокой квалификации его разработчиков (для того, чтобы понять назначение некоторых процедур в коде вируса, мне пришлось обратиться к специализированной технической литературе). Его можно условно разделить на 2 направления: похищение пользовательской информации и организация зомби-сетей для целенаправленных атак на различные Web-ресурсы (следует отметить, что часть этих процедур не сможет быть выполнена под Windows 9X/ME в силу некоторых системных возможностей).
С целью похищения конфиденциальной информации и получения доступа к файлам пользователя бэкдор может выполнять нижеприведенные команды, передавая соответствующие данные в виде HTTP-запросов на сервера злоумышленников:

 - информацию о версии ОС Windows, номер кодовой страницы интерфейса системы;

 - информацию о быстродействии системы;

 - детальные данные о марке и производителе винчестера, о логических разделах и их формате (FAT32 и/или NTFS), количестве занятого и свободного места в каждом из разделов;

 - данные по активному подключению (тип подключения, время входа в сеть Интернет, пароли и логины, используемые при подключении, номера телефонов дозвона, внешний IP-адрес компьютера-жертвы и т.п.);

 - кэшированные пароли пользователя, сохраненные в системе (например, пароли доступа к др. компьютерам локальной сети, почтовым ящикам и т.п.);

 - данные об активных программах (время запуска программ, названия заголовков их окон);

 - организовывать доступ к компьютеру-жертве на уровне сетевых протоколов HTTP и SMB;

 - получать доступ к Рабочему столу компьютера-жерты и возможность просмотра находящихся на жестком диске файлов и папок, используя подключение через виртуальные северные терминалы Telnet и HTTP, организация которых производится по технологической схеме, разработанной компанией "Cisco";

 - сканировать систему на наличие целого ряда уязвимостей (для этого бэкдор производит довольно сложные контрольные проверки) и отправлять детальный отчет обо всех, которые имеют место на компьютере-жертве;

 - открывать на 65557-м порту соединение с сервером 69.89.25.186, откуда по FTP-протоколу скачивается обновленная версия бэкдора (новый файл msc.exe). Загрузка производится путем выполнения соответствующих последовательных команд, вызываемых через системный интерпретатор командной строки cmd.exe;

 - открывать одновременно до 6 произвольно выбранных портов зараженного компьютера для обмена данными с сервером злоумышленников;

 - открывать на произвольном порту FTP- или TFTP-сервер для загрузки в компьютер-жертву др. вредоносных программ (при этом бэкдор передает на сервера злоумышленников логи с детальной статистикой о процессе прохождения передачи и установки файлов) с различных серверов, указанных злоумышленниками (при этом бэкдор может использовать соединение через доступные IRC-каналы);

 - перенаправлять запросы пользователя к странице hotmail.com на 127.0.0.1 (внутренний адрес самого компьютера-жертвы), тем самым блокируя загрузку данной страницы;

 - ограничивать права пользователя, закрывая доступ к произвольным папкам и файлам компьютера паролем, указанным злоумышленниками;

 - открывать полный доступ к системному подкаталогу %windir%\SYSTEM32 как к общему сетевому ресурсу; при этом данное действие осуществляется троянцем только в том случае, если Windows установлена в каталог C:\WINNT (при Windows 2K) или C:\WINDOWS (т.е. каталог "по умолчанию" для всех прочих версий ОС Windows);

 - менять произвольным образом текущую дату и время;

 - добавлять/модифицировать значения в ветках ключей реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]

и

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

 - делать CD/DVD-привод компьютера-жертвы сетевым, в результате чего работа с ним может полностью контролироваться злоумышленниками (например, они могут читать данные со вставленного в него диска или произвольным образом выдвигать/задвигать каретку привода);

 - предоставлять злоумышленнику графический интерфейс в форме HTML-страницы с различными отчетами (данные формы "зашиты" в коде бэкдора), содержащие технические параметры, некоторую информацию о зараженном компьютере и списки найденных на нем каталогов и файлов с возможностью их просмотра;

 - осуществлять клавиатурный шпионаж, передавая злоумышленникам данные, вводимые в окнах различных программ, а также имена заголовков окон, в которых вводилась похищенная информация;

 - предоставлять злоумышленникам возможность прослушивания через заданные порты приватные разговоры, производимые пользователем машины-жертвы при наличии mIRC-клиента;

 - производить тестирование скорости коннекта, анализируя время загрузки Web-ресурсов из следующего списка:

www.schlund.net
www.utwente.nl
verio.fr
www.1und1.de
www.switch.ch
www.belwue.de
de.yahoo.com
www.google.it
www.xo.net
www.stanford.edu
www.verio.com
www.nocster.com
www.rit.edu
www.cogentco.com
www.burst.net
nitro.ucsc.edu
www.level3.com
www.above.net
www.easynews.com
www.google.com
www.lib.nthu.edu.tw
www.st.lib.keio.ac.jp
www.d1asia.com
www.nifty.com
yahoo.co.jp
www.google.co.jp

 - анализировать тип сетевых подключений с целью подбора злоумышленниками наиболее оптимального протокола для обмена данными с компьютером-жертвой;

 - принудительно завершать работу указанных злоумышленником программ или вообще работу ОС Windows;

И целый ряд др. вещей.
Для создания целенаправленных помех в работе др. компьютеров сети бэкдор может производить следующие типы атак (как с единичной зараженной машины, так и со всех зараженных компьютеров, подключенных к сети Интернет на момент отправки команды "атаковать"):

 - DDoS-атаки на указанные злоумышленниками Web-ресурсы;

 - ICMP Flood-атаки на указанные злоумышленниками Web-ресурсы;

 - спам-атаки, используя MS Exchange;

 - Ping-атаки на др. компьютеры сети, которые попадают в диапазон IP-адресов, указанный злоумышленниками. Данный тип атаки ведется с целью сбора информации о машинах, которые находятся на момент атаки в сети, а именно: типе установленной на них ОС, доступных портах и пр.;

А также некоторые др. типы атак не совсем ясного характера.


3. Прочие вещи.

В коде бэкдора содержится в 2 словаря, содержащие более 100 слов и буквосочетаний. Часть этих слов относится к области секса, а часть - к программно-технической. Данные словари также могут использоваться каким-то образом при проведении вышеперечисленных атак на др. компьютеры, однако мне не удалось установить их точное назначение.
Во время работы в сети бэкдор может проявляться показом на экране компьютера какого-то сообщения.
При просмотре свойств файла бэкдора можно увидеть следующие информационные данные:



4. Детектирование и удаление троянца из машины.

На момент разработки данного описания Backdoor.NetOctopus.A (файлы wuauclt7.exe и msc.exe) уже детектировались антивирусами под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Backdoor.Win32.Rbot.bpq

Антивирус DrWeb: не обнаруживает

Антивирус BitDefender Professional: Backdoor.SDBot.AKO

Для возможности просмотра скрытых/системных фалов и папок при работе в Проводнике Виндовс Вы можете воспользоваться утилитой из спец. набора от VirusHunter'а, который можно скачать здесь. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя.
Для удаления троянца из системы рекомендую просканировать свои компьютеры установленными в них антивирусными программами, соглашаясь на удаление всех файлов, обнаруженных как "вирус" под вышеуказанными номенклатурными названиями. При сканировании рекомендуется использовать самые свежие антивирусные базы, поскольку, как уже было сказано, бэкдор может загружать в компьютер др. ВПО, а также свои обновленные версии из сети Интернет. На время сканирования настоятельно рекомендую отключить компьютер от Интернета и локальной сети.
Под Windows 2K/XP или выше для завершения вредоносного процесса wuauclt7.exe можно просто воспользоваться системным Диспетчером задач, после чего вручную удалить файлы wuauclt7.exe и msc.exe.
После окончания процедуры лечения обязательно измените сетевые пароли, пароли для входа в Интернет, а также пароли доступа к банковским счетам (если Вы пользуетесь соответствующими сервисными программами для проведения денежных операций через сеть Интернет) и почтовым ящикам.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 01.05.2007
Дата внесения последних изменений: 05.05.2007
Благодарности: пользователю Киселеву Сергею за пересылку образца "зловреда" для возможности его изучения
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00800800323486