Backdoor.Win32.Bredavi.asq - предоставляет доступ к зараженной машине


Описание
Backdoor.Win32.Bredavi.asq - вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Размер - 27136 байт. Написана на C++.


Инсталляция
Троян копирует свое тело в системный каталог Windows под именем "dckp.kio":

  • %System%\dckp.kio


Для автоматического запуска при старте системы троян добавляет запись в ключ автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe rundll32.exe dckp.kio pushprl"


Деструктивная активность
Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троян устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

  • [HKCU\Software\Microsoft\Office\11.0\Word\Security]
    "Level" = "1"
    "AccessVBOM" = "1"

и выполняет макрос, запускающий на выполнение оригинальное тело трояна.

Для контроля уникальности своего процесса в системе троян создает уникальный идентификатор с именем:

  • 904704995647863


Далее он создает процесс с именем

  • "svchost.exe"

и внедряет в его адресное пространство свой вредоносный код:

  • < pre="">


Троян отправляет запрос по следующему адресу:

  • http://dal***ews.cn/myl/bb.php


На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троян сохраняет в следующем ключе реестра:

  • [HKCR\idid]


Методы борьбы
Для удаления вредоносной программы необходимо выполнить следующие действия:

  1. Удалить оригинальный файл трояна (его расположение зависит от способа, попадания на компьютер).
  2. Удалить файлы:
    • %System%\dckp.kio

  3. Очистить каталог Temporary Internet Files:
    • %Temporary Internet Files%

  4. Удалить ключ системного реестра:
    • [HKCR\idid]

  5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра:
    • [HKCU\Software\Microsoft\Office\11.0\Word\Security]
      "Level"
      "AccessVBOM"

  6. Восстановить значение параметра ключа системного реестра на следующее:
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Shell" = "Explorer.exe"

  7. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.