18 października 2001

Backdoor.KWM - umożliwia uzyskanie dostępu do zainfekowanego komputera

Jest to backdoor Win32 umożliwiający zdalnemu użytkownikowi uzyskiwanie dostępu do zainfekowanej maszyny. Szkodnik ma postać aplikacji Win32 (plik PE EXE) o rozmiarze około 14 KB.

Istnieje kilka znanych wersji tego backdoor'a. Zostały one umieszczone na publicznych stronach WWW z poniższymi nazwami:

  • Photo.scr - jako obrazek (około 66KB)
  • Sponsors_pay_WM.exe - jako dokument "Billing Systems' Contract for Services" (około 70 KB)

Pliki te są "zakraplaczami" konia trojańskiego. Umieszczają one plik wirusa ("netcfgh.exe") w katalogu Windows po czym zapisują na dysku i uruchamiają "przynętę" (obrazek JPG lub dokument TXT). Przynęty tworzone są w katalogu głównym dysku C:, a ich nazwy to PHOTO.JPG lub CONTRACT.TXT.

Gdy plik trojana zostanie uruchomiony, wirus zmienia klucz rejestru aby uruchomić automatyczne wybieranie numeru telefonicznego:

HKEY_USERS\.Default\Software\Microsoft\Windows\
CurrentVersion\Internet Settings EnableAutodial

Następnie trojan rejestruje się jako ukryta (systemowa) aplikacja, dodaje własny wpis do pliku SYSTEM.INI, przez krótki czas pozostaje w uśpieniu i uruchamia główną procedurę backdoor'a. Procedura ta łączy się z adresem ftp://ftp.bizland.com/ i pobiera dodatkowe komponenty: HEAK.EXE, TEEN1.EXE, TEEN2.EXE, TEEN3.EXE.

Następnie backdoor uruchamia komendy umożliwiające zdalnemu użytkownikowi wykonywanie poniższych operacji na zainfekowanej maszynie:

  • pobieranie plików
  • wysyłanie plików
  • uruchamianie lokalnych plików
  • przenoszenie/kopiowanie/usuwanie lokalnych plików
  • wysyłanie poufnych informacji (informacje RAS oraz hasła)

Dodatkowo backdoor szuka na dyskach twardych plików systemu WebMoney i przesyła informacje zdalnemu użytkownikowi co umożliwia mu kradzież tych plików.

Szkodnik tworzy dodatkowe klucze w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion
CmdID = %nazwa_hosta%
SystemNumber = NEW_%data_systemowa%

gdzie %nazwa_hosta% to sieciowy adres komputera, natomiast %data_systemowa% to aktualna data zapisana jest w postaci liczby.

Ponadto backdoor tworzy dwa dodatkowe pliki w katalogu Windows:

  • BODY.LG - plik raportu wirusa
  • LIST.CMD - skrypt