BackDoor.Win32.bredolab.d


Описание:
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. Размер данного трояна - 61 440 bytes.

Инсталляция:
Троян проверяет наличие файлов, в своем адресном пространстве. В случае обнаружения завершается:

  • %System%\drivers\hgfs.sys
  • %System%\drivers\prleth.sys
  • %System%\drivers\vmhgfs.sys

Библиотеки: dbghelp.dll и sbiedll.dll

HKLM\HARDWARE\Description\System\SystemBiosVersion - ключ для проверки реестра. Завершается в случае обнаружения строки «VBOX» в это значение.

Для исключения возможности исполнения себя в SandBox, проверяет несоответствие:

  • Имя компьютера - SANDBOX;
  • Имя пользователя - CurrentUser, Sandbox;
  • Имя пользователя - user и имя пользователя - USER;
  • Значения ключа ProductID в HKLM\Microsoft\Windows\CurrentVersion:
    • 55274-640-2673064-23950 (JoeBox)
    • 76487-644-3177037-23510 (CWSandbox)
    • 76487-337-8429955-22614 (Anubis)
Проверка имени, соответствующее запускаемому файлу:
  • при имени grpconv.exe - проверяет в системе процесс cfp.exe. Обнаружив - перемещает себя в %Temp%\~TM%TempName%, завершается, не обнаружив - создает новый процесс svchost.exe, вставляет в него свою часть, запускает в нем новый поток, завершается;
  • при имени explorer.exe - проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то устанавливает значение ключа RunGrpCon в 1, в ветке реестра HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogo после чего:
    • перемещает - %Temp%\~TM27FB4A.TMP в - %System%\Wbem\grpconv.exe;
    • устанавливает для - %System%\Wbem\grpconv.exe атрибуты времени такие же как у - %System%\smss.exe;
    • удаляет файлы - %System%\grpconv.exe, %System%\dllcache\grpconv.exe;
    • создает мьютекс с именем _SYSTEM_4D2EF3A_;
    • создает новый процесс svchost.exe, монтирует в него свою часть и запускает в нем новый поток, после чего завершается.
  • при произвольном имени - проверяет наличие в системе процесса cfp.exe. По обнаружению перемещает себя в %Temp%\~TM%TempName% и завершается. Не обнаружив - копирует себя в %Temp%\~TM27FB4A.TMP, монтирует себя в explorer.exe и запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, после чего завершается.

Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%, и автоматически производит корректировку при несоответствии (anti-sandbox).

Методы борьбы:
Самый простой и надежный способ - это использование Dr. Web Live CD.
Второй вариант - сканирование системы в безопасном режиме (желательно Dr.Web CureIt).
И третий вариант. Заходим в реестр и вручную проверяем все ключи/значения, восстанавливаем базовые настройки, удаляем значения установленные трояном. Перезапускаем компьютер.
Третий способ самый трудоемкий и требует знаний, достаточных для того, чтоб разобраться со значениями реестра.

P.S. При невозможности запустить Редактор реестра и/или Диспетчер задач (любым способом), происходит их блокировка (появляется окно с сообщением "Редактирование реестра запрещено администратором системы" и/или "Диспетчер задач отключен администратором"), рекомендуется использовать программу, TskMngr && Regedit enableR с помощью которой возможно восстановить право на запуск.