Форум VolSat - Показать сообщение отдельно - Кибербезопасность-обсуждение

Tuflya07 · 22.04.2010, 14:57

Backdoor.Win32. Bredolab.bvv

20 апреля, 2010

Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\digiwet.dll
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders] "SecurityProviders" = "digiwet.dll"

Деструктивная активность

Программа соединяется с сервером
http://78.109.29.112.ru
На который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=bot&entity_list=&uid=&first= 1&guid=8809417 64&v=15&rnd=8520045
В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir%
\Temp\wpv<rnd>.exe и запускает.
Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):
GET /new/controller.php?action=report&
guid=0&rnd=8520045&guid=&entity=1260187840:unique_ start;1
260188029:unique_start;1260433697:unique_start;126 0199741:unique_start
Таким образом, сообщая серверу об успешном заражении компьютера.

22.04.2010, 14:57	#20
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,560 Сказал(а) спасибо: 2,818 Поблагодарили 5,655 раз(а) в 4,453 сообщениях Вес репутации: 48	Backdoor.Win32. Bredolab.bvv 20 апреля, 2010 Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение. Инсталляция При запуске программа копирует свой исполняемый файл в корневой каталог Windows: %WinDir%\system32\digiwet.dll Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SecurityProviders] "SecurityProviders" = "digiwet.dll" Деструктивная активность Программа соединяется с сервером http://78.109.29.112.ru На который отправляет запрос следующего вида(некоторые данные в запросе могут меняться): GET /new/controller.php?action=bot&entity_list=&uid=&first= 1&guid=8809417 64&v=15&rnd=8520045 В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir% \Temp\wpv<rnd>.exe и запускает. Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться): GET /new/controller.php?action=report& guid=0&rnd=8520045&guid=&entity=1260187840:unique_ start;1 260188029:unique_start;1260433697:unique_start;126 0199741:unique_start Таким образом, сообщая серверу об успешном заражении компьютера. __________________