Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Backdoor.Netdex - wieloskładnikowy backdoor

Jest to wieloskładnikowy backdoor pozwalający zdalnemu użytkownikowi na przejęcie kontroli nad zainfekowanym komputerem. Backdoor pobiera komendy w postaci skryptów ze strony http://www.two.com.ru, wykonuje żądane operacje o odsyła rezultaty na tę samą witrynę.

Główny składnik backdoora ma postać aplikacji 'zshell.js' napisanej w języku programowania Java Script. Pozostałe składniki to:

  • a.com - pomocniczy program DOSowy,
  • netd.exe - usługa przesyłająca dane mająca postać aplikacj iWin32 EXE,
  • o.js, installer.php - instalator stworzony w języku programowania Java Script,
  • repost.html, sh.php - strona HTML zawierająca program napisany w języku programowania Java Script.

Infekowanie

Do infekcji komputera dochodzi w momencie odwiedzania witryny http://www.two.com.ru. Jej główna strona zawiera skrypt, który korzystając z luki w zabezpieczeniach instaluje w systemie backdoora wraz ze wszystkimi jego składnikami. Dla głównego składnika tworzone są dwa klucze rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Time Zone Synchronization = wscript "%Cookies folder%\zshell.js"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Time Zone Synchronization = wscript "%Cookies folder%\zshell.js"

W celu instalacji backdoor wykorzystuje lukę w zabezpieczeniach zwaną Microsoft VM ActiveX Component. Więcej informacji na jej temat oraz odpowiednią łatę można znaleźć pod adresem:

http://www.microsoft.com/technet/security/bulletin/MS00-075.asp.

W celu zamaskowania uruchomienia backdoora strona WWW wyświetla teksty w języku rosyjskim oraz pola do wypełnienia. Jeżeli użytkownik wprowadzi hasło, wyświetlany jest kolejny, rosyjski tekst.

Główny składnik backdoora

Backfoor ma postać skryptu napisanego w języku programowania Java Script. Co minutę szkodnik pobiera ze swojej strony WWW komendy i wykonuje je. Backdoor pozwala na wykonywanie następujących operacji:

  • uruchamianie komend lub lokalnych plików,
  • wyświetlanie komunikatów na pulpicie,
  • uaktualnianie samego siebie,
  • wysyłanie wiadomości e-mail w imieniu użytkownika zainfekowanego komputera,
  • kończenie swojego działania.

Poniżej znajduje się pełna lista komend.

Szczegóły techniczne - infekowanie

Proces infekowania składa się z kilku kroków:

Krok 1 - otwieranie zainfekowanej strony WWW

Skrypt zapisany na stronie hakera umieszcza na atakowanym komputerze następujące pliki:

  • 'a.com' w tymczasowym folderze Windows,
  • 'zshell.js' w folderze 'Cookies' (po zapisaniu plik ten jest uruchamiany).

Krok 2 - Tworzenie backdoora

Skrypt 'zshell.js' (uruchomiony w pierwszym kroku) wykonuje dwie, główne funkcje:

  • tworzy usługę przesyłającą (netd.exe). W tym celu uruchamiany jest program 'a.com' (zapisany na w pierwszym kroku). Program ten rozpakowuje ze swojego kodu, deszyfruje i zapisuje w tymczasowym folderze plik 'netd.exe' (w późniejszej fazie plik ten jest kopiowany do folderu 'Cookies'). Plik 'netd.exe' wspomaga procedury odbierania i wysyłania danych do strony WWW hakera, korzystając protokołów SMTP oraz HTTP;

  • pobiera ze strony WWW plik 'install.php', zapisuje go z nazwą 'o.js' i uruchamia. W tym celu skrypt wykorzystuje komendę "GET HTTP" oferowaną przez usługę przesyłającą 'netd.exe'.

Krok 3 - Instalowanie backdoora

Skrypt 'o.js' (uruchomiony w drugim kroku) wykonuje następujące operacje:

  • pobiera ze strony WWW plik 'sh.php' (główny składnik backdoora), zapisuje go z nazwą 'zshell.js' i uruchamia;

  • tworzy klucze rejestru (patrz powyżej) zapewniające uruchamianie backdoora wraz z każdym startem systemu operacyjnego;

  • tworzy skrypt umożliwiający reaktywację backdoora. W tym celu skrypt 'o.js' tworzy w folderze 'Cookies' plik 'repost.html' i zapisuje do niego program uruchamiający plik 'zshell.js' (główny składnik backdoora). Ponadto dla pliku 'repost.html' tworzony jest klucz rejestru systemowego:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\
    AboutURLs\PostNotCached

Szczegóły techniczne - komendy backdoora

Backdoor może wykonywać następujące komendy:

  • EXIT - zakończenie własnego działania,
  • NOBREAK - przejście w stan uśpienia,
  • SETCMDURL - zapisanie nowego hosta (strony WWW) wykorzystywanego do komunikacji,
  • RUN - uruchomienie komendy,
  • SENDMAIL - wysłanie wiadomości e-mail,
  • UPDATE - pobranie pliku i zapisanie go pod nazwą "%folder Cookies%\zshell.js",
  • ALERT - wyświetlanie komunikatów,
  • SLEEP - przejście w stan uśpienia na podaną ilość minut,
  • SENDCONFIRM - wysłanie powiadomienia o pomyślnym zainfekowaniu komputera,
  • RUNTHESELF - reaktywacja samego siebie.


 2002-10-16  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych