Энциклопедия компьютерных вирусов


Backdoor.BO, aka Back Orifice Trojan - часть 2


Еще две программы являются утилитами компрессии/декомпрессии файлов - они используются для копирования файлов с/на удаленный "сервер".

При запуске троянец инициализирует сокеты Windows, создает файл WINDLL.DLL и системном каталоге Windows, определяет адреса нескольких Windiows API, ищет свою копию в памяти и выгружает ее из памяти, если таковая обнаружена (т.е. обновляет свою версию). Затем троянец копирует себя в системный каталог Windows и регистрирует его в реестре как авто-запускаемый процесс:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Затем троянец перехватывает один из сокетов Windows (по умолчанию - сокет 31337) и остается в памяти Windows как скрытое приложение (т.е. без активного окна и ссылки в списке приложений). Основная процедура перехвата сообщений затем ждет команд от удаленного клиента. Сокеты команды передаются в зашифрованном виде. В зависимости от команды троянец выполняет следующие действия:

  • высылает имена компьютера, пользователя и информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.
  • разрешить удаленный доступ к дискам (sahre)
  • искать файл на дисках
  • послать/принять файл, также как уничтожить, скопировать, переименовать, выполнить любой файл
  • создать/уничтожить каталог
  • упаковать/распаковать файл
  • отключает текущего пользователя от сети
  • завешивает компьютер
  • высылает список активных процессов
  • выгружает указанный процесс
  • подключается к сетевым ресурсам
  • gets and sends cashed passwords (p/words that were used during current seance), then looks for ScreenSaver password (decrypts and sends them)
  • выводит MessageBox
  • читает/модифицирует системный реестр
  • открывает/перенаправляет другие сокеты TCP/IP
  • поддерживает протокол HTTP и эмулирует Web-сервер (т.е. троянцем можно управлять при помощи броузера)
  • проигрывает звуковые файлы
  • перехватывает, запоминает и затем высылает строки, вводимые с клавиатуры в момент подсоединения компьютера к сети
  • и т.д.

Троянец также позволяет расширить список своих функций при помощи подключаемых ресурсов (plug-in).Они могут быть переданы на "сервер" и инсталлированы там как часть троянца и в дальнейшем могут выполнять практически любые действия на пораженном компьютере.




Начало  Назад  Вперед



Книжный магазин