Backdoor.Win32.Small.mg


Описание
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Размер - 5679 байт. Упакована UPX. Распакованный размер – около 11 КБ. Написана на C++.


Инсталляция
После запуска бэкдор копирует свое тело в файл:

  • %System%\DKING!.exe

Для автоматического запуска при каждом следующем старте системы создается ключ системного реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "ConsoleDevil" = "%System%\DKING!.exe
    "


Деструктивная активность
После запуска бэкдор получает путь к исполняемому файлу браузера, установленного в системе по умолчанию, считывая значение ключа системного реестра:

  • [HKCR\http\shell\open\command]
    "(Default)"


Далее процесс браузера запускается, и в его адресное пространство внедряется исполняемый код, реализующий описанный ниже функционал. При этом в случае возникновения ошибки, рассматриваемый вредоносный код будет внедрен в адресное пространство процесса "EXPLORER.EXE". Бэкдор устанавливает соединение с хостом:

  • 9203.***p.cc


При этом злоумышленнику отправляется имя зараженного компьютера и имя пользователя. Далее по команде злоумышленника бэкдор выполняет следующие действия:

  • запускает на зараженном компьютере удаленный командный терминал;
  • загружает на зараженный компьютер файлы;
  • запускает и завершать процессы.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Перезагрузить компьютер в "безопасном режиме" (в начале загрузки нажать и удерживать клавишу "F8", далее выбрать пункт "Safe Mode" или "Загрузка в безопасном режиме" в меню загрузки Windows).
  2. Удалить ключ системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "ConsoleDevil" = "%System%\DKING!.exe"

  3. Удалить файл:
    • %System%\DKING!.exe

  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.