13 maja 2004

Backdoor.Throd.a - zmienia zainfekowany komputer w serwer proxy

Jest to koń trojański pozwalający na wykorzystanie zainfekowanego komputera jako serwera proxy. Szkodnik powstał przy użyciu środowiska programistycznego Delphi, a jego rozmiar to około 23 KB (kompresja UPX, rozmiar po rozpakowaniu - około 80 KB).

Instalacja

Trojan kopiuje się do folderu systemowego Windows z losową nazwą generowaną na podstawie następujących znaków:

  • ms, svc, win
  • 16, 32, 64
  • mes, prn, reg

przykładowo - ms16prn.exe.

W celu zapewnienia sobie uruchamiania wraz z każdym startem systemu operacyjnego trojan tworzy w rejestrze systemowym klucz auto-run:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

z losową nazwą wybieraną spośród następujących możliwości:

  • MS Driver Management
  • Synchronization Messager
  • System Directory Service
  • System Service Control
  • Windows Messaging System

Następnie szkodnik podejmuje próbę łączenia się z kilkoma zdalnymi serwerami i przesyła informacje o zainfekowanym komputerze.

Throd może wykonywać polecenia hakera, gromadzi kontakty z książki adresowej programu MS Outlook, zapisuje je w pliku mseml.dll i wysyła do serwerów, z którymu udało mu się nawiązać połączenie.

Na polecenie hakera Throd może instalować i uruchamiać pliki na zainfekowanym komputerze.

Dodatkowo trojan może funkcjonować jako serwer proxy odbierający oraz wysyłający dane dowolnego typu.