15 września 2004

UWAGA! Backdoor.Win32.Surila.k

Jest to backdoor posiadający postać pliku PE EXE o rozmiarze około 244 KB (kompresja Obsidium, rozmiar po rozpakowaniu - około 413 KB). Szkodnik powstał przy użyciu środowiska programistycznego Visual C++.

Instalacja

Po uruchomieniu backdoor kopiuje się do foldera \Windows\System z nazwą dx32cxlp.exe i tworzy w rejestrze systemowym klucze auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
devsec = %System%\dx32cxlp.exe

[HKLM\SOFTWARE\Microsoft\Internet Explorer\losowa_nazwa_identyfikatora]

Pierwszy klucz zapewnia szkodnikowi uruchamianie wraz z każdym startem systemu operacyjnego, natomiast drugi służy do oznaczenia zainfekowanego komputera.

Następnie backdoor kopiuje się do foldera StartUp i tworzy w folderze \Windows\System plik o nazwie dx32cxconf.ini.

Szkodnik tworzy usługę o nazwiedx32cxel: %System\dx32cxel.sys.

W celu uzyskania pełnego dostępu do Internetu backdoor rejestruje się w profilu FirewallPolicy systemu Windows.

Funkcja dodatkowa

Surila instaluje na losowym porcie serwer proxy, który przetwarza ruch HTTP oraz SMTP. W rezultacie komputer zostaje otwarty na zdalne ataki.

Komunikacja z modułem klienckim

Szkodnik podejmuje próby łączenia się z następującymi serwerami IRC i oczekuje na zdalne polecenia:

62.241.53.2:4242
211.233.41.235:4661
81.23.250.167:4242
193.19.227.24:4661
66.98.192.99:3306
207.44.222.47:4661
213.158.119.104:4661
207.44.206.27:4661
62.241.53.4:4242
216.127.94.107:4661
67.15.18.45:3306
62.241.53.15:4242
64.246.54.12:3306
62.241.53.16:4242
211.214.161.107:4661
67.15.18.57:3306
66.98.144.100:4242
69.50.187.210:4661
66.111.43.80:4242
212.199.125.36:8080
66.90.68.2:6565
62.241.53.17:4242
69.50.228.50:4646
81.23.250.169:4242
69.57.132.8:4661
4.246.18.98:4661
218.78.211.62:4661
207.44.142.33:4242
64.246.16.11:4661
205.209.176.220:4661
80.64.179.46:4242
65.75.161.70:4661

Informacje dodatkowe

Szkodnik zmienia poniższe linie w pliku hosts, co uniemożliwia pobieranie antywirusowych baz danych oraz otwieranie stron producentów oprogramowania antywirusowego:

127.0.0.1       www.avp.com
127.0.0.1       www.viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       www.symantec.com
127.0.0.1       networkassociates.com
127.0.0.1       secure.nai.com
127.0.0.1       downloads1.kaspersky-labs.com
127.0.0.1       downloads2.kaspersky-labs.com
127.0.0.1       downloads3.kaspersky-labs.com
127.0.0.1       downloads4.kaspersky-labs.com
127.0.0.1       downloads-us1.kaspersky-labs.com
127.0.0.1       downloads-eu1.kaspersky-labs.com
127.0.0.1       kaspersky-labs.com
127.0.0.1       www.networkassociates.com
127.0.0.1       us.mcafee.com
127.0.0.1       f-secure.com
127.0.0.1       avp.com
127.0.0.1       www.sophos.com
127.0.0.1       sophos.com
127.0.0.1       www.ca.com
127.0.0.1       ca.com
127.0.0.1       securityresponse.symantec.com
127.0.0.1       symantec.com
127.0.0.1       mast.mcafee.com
127.0.0.1       my-etrust.com
127.0.0.1       www.kaspersky.com
127.0.0.1       www.f-secure.com
127.0.0.1       dispatch.mcafee.com
127.0.0.1       update.symantec.com
127.0.0.1       nai.com
127.0.0.1       www.nai.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       customer.symantec.com
127.0.0.1       rads.mcafee.com
127.0.0.1       trendmicro.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       www.mcafee.com
127.0.0.1       mcafee.com
127.0.0.1       viruslist.com
127.0.0.1       www.my-etrust.com
127.0.0.1       download.mcafee.com
127.0.0.1       updates.symantec.com
127.0.0.1       kaspersky.com
127.0.0.1       www.trendmicro.com