VirusHunter предупреждает всех пользователей ПК о распространении новой модификации очень опасной троянской программы - Backdoor.Ntos.B, позволяющей скрытно управлять ресурсами пораженных ею компьютеров с системой Windows и использовать последние для крупномасштабной рассылки спама. Также вредоносная программа использует ряд сложных приемов для сокрытия своего присутствия в зараженной системе, блокирует работу защитных программ и устанавливает в компьютер др. вредоносное ПО...


1. Источники попадания троянца Backdoor.Ntos.B в компьютер.

Этот раздел полностью идентичен приведенному в описании Backdoor.Ntos.A.


2. Инсталляция в систему.

Работоспособность троянца возможна только на машинах с установленной ОС Windows 2K/XP или выше. Бэкдор представляет собой Windows-приложение, написанное на языке Ассемблер. Код файла зашифрован несколькими сложными криптографическими алгоритмами, а поверх еще и какой-то "навесной" криптографической защитой. Назвать точный размер файла весьма затруднительно, поскольку при копировании в систему троянец изменяет последний. Однако размер при снятии навесной криптографической защиты дает более-менее четкое представление об оригинальной величине вредоносного файла - примерно 160 кб.
При запуске троянского файла производится проверка версии ОС Windows, имени и местоположения системного каталога, а также названия и местоположения текущей копии троянца. Если каталог, из которого произведен запуск файла, отличен от %windir%\System32\ (тут %windir% - путь к каталогу с установленной ОС Windows), а название файла отлично от ntos.exe, то троянец производит следующие действия:

 - копирует свой файл как %windir%\System32\ntos.exe;

 - модифицирует следующий стартовый ключ реестра, дописывая в него ссылку на свой файл:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%windir%\\system32\\userinit.exe,%windir%\\system32\\ntos.exe,"


Затем завершает свою работу, не производя более никаких действий.
При записи своего файла в систему исходная копия троянца увеличивает размер инсталлируемого файла на произвольную величину (от 100 кб и более), дописывая в его конец случайные данные. Кроме того, присваиваемые инсталлируемому файлу дата и время его модификации умышленно передираются от системного компонента ntdll.dll, а также присваиваются атрибуты "только для чтения" и "архивный". В результате, вредоносный файл ntos.exe никак не выделяется среди прочих системных файлов, соседствующих с ним в одном каталоге.
Получив управление при первом перезапуске компьютера, троянец расшифровывает и загружает на обработку специальную ассемблерную процедуру, при помощи которой внедряет свой процесс прямо в системное ядро с возможностью контроля DMA (прямого доступа к памяти). В результате, вредоносный процесс оказывается недоступен для инициализации ни средствам встроенной в Windows защиты памяти для блокировки потенциально-опасных процедур, ни антивирусным и сетевым мониторам, а сам файл ntos.exe, не виден на диске компьютера, как если бы его действительно там не было.
Троянец контролирует и тут же отменяет модифицирование/удаление созданной им ссылки на свой файл в вышеуказанном ключе реестра.
Получив контроль над DMA, троянец создает следующий подкаталог с несколькими файлами:

%windir%\System32\wsnpoem\audio.dll
%windir%\System32\wsnpoem\video.dll

Изначально размер данных файлов является нулевым, поскольку никаких данных они не содержат. Однако в дальнейшем троянец записывает в них и шифрует какие-то служебные данные. Каталогу присваиваются атрибуты "скрытый" и "системный", а доступ к файлам в папке извне защищен точно так же, как и к файлу ntos.exe (т.е. каталог и содержащиеся в нем файлы не видны на диске компьютера).


3. Противостояние антивирусным программам.

Этот раздел полностью идентичен приведенному в описании Backdoor.Ntos.A.


4. Действия в сети Интернет.

Этот раздел практически полностью идентичен приведенному в описании Backdoor.Ntos.A. При этом в рассматриваемом варианте присутствует дополительный шпионский функционал, позволяющий отправлять авторам троянца следующие данные о пользователе и его компьютере:

 - стартовую страницу веб-браузера Internet Explorer;

 - содержимое TXT-файлов из папки Cookie (содержат конфиденциальную информацию, используемую при авторизации пользователя на различных сайтах, в том числе и платных);

 - каталог и номер версии установленного в компьютере клиента WebMoney, а также конфиденциальную информацию из TXT- и KWM-файлов, расположенных в служебных подкаталогах данной программы, с целью получения доступа к управлению счетом пользователя инфицированного компьютера;

 - некоторые др. конфиденциальные данные неустановленного характера.

Описание прочих шпионских процедур и бэкдор-функционала идентично реализованным в варианте "A" троянца.


5. Прочее.

Этот раздел полностью идентичен приведенному в описании Backdoor.Ntos.A.


6. Детектирование и удаление троянца из машины.

На момент разработки данного описания Backdoor.Ntos.B (файл ntos.exe) уже детектировался антивирусами под следующими идентификационными названиями:

Антивирус Kaspersky AntiVirus: Trojan-Spy.Win32.Zbot.cyq

Антивирус DrWeb: Trojan.Packed.511

Антивирус BitDefender Professional: Backdoor.Bot.19082 (в распакованном от навесной крипт-защиты виде - как Trojan.Spy.Agent.NNT)

Был проведен тест вышеуказанных антивирусов (KIS 7.0.1.325, DrWeb 4.44.5, консольного сканера BDC/WIN32-Console v7.0 build 2555, а также одной из последних версий Avira Anti-Virus) на способность их сканеров обнаружить активное заражение машины. Для этого были загружены антивирусные сканеры (мониторы и проактивная защита были предварительно отключены), после чего был произведен ручной запуск установленного в систему файла ntos.exe. Затем я осуществил сканирование памяти, объектов автозапуска и системной папки %windir%\System32 каждым из антивирусов. Результаты оказались весьма неутешительными: BitDefender, KIS и Avira не обнаружили ничего, а вот DrWeb, что меня немало удивило, обнаружил и показал наличие и вредоносного процесса, и вредоносного файла на диске. Из этого несложно сделать вывод, что реальной защитой от данного зловреда и ему подобных (при наличии установленного в компьютере и корректно настроенного антивируса с самой свежей антивирусной базой) является антивирусный монитор, который перехватит запуск троянского файла еще до того, как последний успеет установить себя в систему и получить управление.
Учитывая сложность обнаружения данного троянца и его удаления из системы, для пользователей Windows XP была разработана специальная утилита для обнаружения и удаления бэкдора и всех созданных им записей из системного реестра. Вся информация касательно данной утилиты изложена в описании варианта Backdoor.Ntos.A.


7. Другие обнаруженные вариации троянца.

Также был обнаружен еще один вариант данного зловреда размером 66560 байт, сжатый какой-то утилитой компрессии (размер декомпрессированного в приближении к оригиналу файла составляет 110592 байта). Данная вариация полностью идентична по своему функционалу вышеописанному варианту и отличается от последнего лишь размером и методом сжатия тела файла.
Вредоносный файл детектируется антивирусами под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus: Trojan-Spy.Win32.Zbot.jwp

Антивирус DrWeb: Trojan.PWS.Panda.5

Антивирус BitDefender Professional: Backdoor.Bot.93236


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 16.07.2008
Дата внесения последних изменений: 06.10.2009
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00299596786499