Encyklopedický vstup
Aktualizováno: 2.5.2011 | Zveřejněno: Duben 11, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 2.5.2011 | Zveřejněno: Duben 11, 2011 Aliasy
-
TR/Scar.to (Avira)
- Scar (McAfee)
- W32/AntiAV.AC (Norman)
- Mal/TinyDL-T (Sophos)
- Trojan.Panddos (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.273.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
Backdoor:Win32/Jukbot.Bje trojan, který umožňuje omezený vzdálený přístup a ovládání. Trojan komunikuje se velení a řízení serveru přijímat instrukce a provádět akce.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto úprav registru:
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ < název služby >
Sady hodnota: " Typ "
S daty: " dword: 00000010 "
Nastaví hodnotu: " Spustit "
Vzhledem k objemu dat: " dword: 00000002 "
Nastaví hodnotu: " ErrorControl "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " ImagePath "
Vzhledem k objemu dat: <dropped malware cesta>
Nastavuje hodnotu: " DisplayName "
Vzhledem k objemu dat: "< název služby > "
Nastaví hodnotu: " objectname "
s údaji: " LocalSystem "
Nastaví hodnotu: " Popis "
Vzhledem k objemu dat: " Překlad síťových adres pro virtuální networks.If tato služba zastavena, chráněný obsah nemusí být se nahraje do přístroje . "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ VMservices \ Security
Nastaví hodnotu: " Security "
Vzhledem k objemu dat: hex: <Hex hodnota>
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ VMservices \ Enum
Nastaví hodnotu: " 0 "
Vzhledem k objemu dat: " root \ LEGACY_VMSERVICES \ 0000 "
Nastaví hodnotu: " Count "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " NextInstance "
s údaji: " dword: 00000001 " V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ < název služby > Nastavuje hodnotu: "< malware soubor Název > " Vzhledem k objemu dat: "< systémové složky > \ < malware název souboru > " V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_VMSERVICES Nastaví hodnotu: " NextInstance " Vzhledem k objemu dat: " dword: 00000001 " V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ \ LEGACY_VMSERVICES 0000 Nastavuje hodnotu: " Servis " Vzhledem k objemu dat: " <Servisní name> " Nastavuje hodnotu: " Legacy " Vzhledem k objemu dat: " dword: 00000001 " Nastaví hodnotu: " ConfigFlags " s daty: " dword: 00000000 " Nastaví hodnotu: "Třída " S údaji: " LegacyDriver " Nastaví hodnotu: " ClassGUID " Vzhledem k objemu dat: "{ 8ECC055D-047F-11D1-A537-0000F8753ED1 } " Nastaví hodnotu: " DeviceDesc " Vzhledem k objemu dat: " < název služby> " Nastaví hodnotu: " DeviceDesc " Vzhledem k objemu dat: " <Servisní name> "V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_VMSERVICES \ 0000 \ Control Nastaví hodnotu: "* NewlyCreated * " Vzhledem k objemu dat: " dword : 00000000 " Nastaví hodnotu: " ActiveService " Vzhledem k objemu dat: " <Servisní name> "
Technické informace (analýza)
Backdoor:Win32/Jukbot.Bje trojan, který umožňuje omezený vzdálený přístup a ovládání. Slouží jako součást botnetu a umožňuje vzdálený přístup a ovládání. Trojan komunikuje se velení a řízení serveru přijímat instrukce a provádět akce.
Instalace
Backdoor byla pozorována pomocí různých názvů souborů a názvy služeb, pokud je klesla k počítači. Při spuštění se zkopíruje do <system folder> pod různými názvy souborů, například " panp.exe "," slnso.exe "," btlp.exe ", a tak dále.
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Registr je upravené pro provoz Backdoor:Win32/Jukbot.Bjako služba Windows, pomocí různých názvů služeb, aby zajistila, že jeho kopie spustí při každém startu Windows. Backdoor dělá tyto změny v registru:
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ < název služby >
Sady hodnota: " Typ "
Vzhledem k objemu dat: " dword: 00000010 "
Nastaví hodnotu: " Spustit "
Vzhledem k objemu dat: " dword: 00000002 "
Nastaví hodnotu: " ErrorControl "
S data: " dword: 00000001 "
Nastaví hodnotu: " ImagePath "
Vzhledem k objemu dat: <dropped malware cesta>
Nastavuje hodnotu: " DisplayName "
Vzhledem k objemu dat: "< název služby > "
Nastavení hodnota: " objectname "
s údaji: " LocalSystem "
Nastaví hodnotu : " Popis "
Vzhledem k objemu dat: " Překlad síťových adres pro virtuální networks.If tato služba zastavena, chráněný obsah nemusí být se nahraje do přístroje . "
Sady hodnota: " Typ "
Vzhledem k objemu dat: " dword: 00000010 "
Nastaví hodnotu: " Spustit "
Vzhledem k objemu dat: " dword: 00000002 "
Nastaví hodnotu: " ErrorControl "
S data: " dword: 00000001 "
Nastaví hodnotu: " ImagePath "
Vzhledem k objemu dat: <dropped malware cesta>
Nastavuje hodnotu: " DisplayName "
Vzhledem k objemu dat: "< název služby > "
Nastavení hodnota: " objectname "
s údaji: " LocalSystem "
Nastaví hodnotu : " Popis "
Vzhledem k objemu dat: " Překlad síťových adres pro virtuální networks.If tato služba zastavena, chráněný obsah nemusí být se nahraje do přístroje . "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ VMservices \ Security
Nastaví hodnotu: " Security "
Vzhledem k objemu dat: hex: <Hex hodnota>
Nastaví hodnotu: " Security "
Vzhledem k objemu dat: hex: <Hex hodnota>
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ VMservices \ Enum
Nastaví hodnotu: " 0 "
Vzhledem k objemu dat: " root \ LEGACY_VMSERVICES \ 0000 "
Nastaví hodnotu: " Počet "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " NextInstance "
s údaji: " dword: 00000001 "
Nastaví hodnotu: " 0 "
Vzhledem k objemu dat: " root \ LEGACY_VMSERVICES \ 0000 "
Nastaví hodnotu: " Počet "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " NextInstance "
s údaji: " dword: 00000001 "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Services \ < název služby >
Nastavuje hodnotu: "< malware název souboru > "
Vzhledem k objemu dat: "< systémové složky > \ < malware název souboru > "
Nastavuje hodnotu: "< malware název souboru > "
Vzhledem k objemu dat: "< systémové složky > \ < malware název souboru > "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_VMSERVICES
Nastaví hodnotu: " NextInstance "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " NextInstance "
Vzhledem k objemu dat: " dword: 00000001 "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ \ 0000 LEGACY_VMSERVICES
Sady hodnota: " Služba "
Vzhledem k objemu dat: " <Servisní name> "
Nastavuje hodnotu: " Legacy "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " ConfigFlags "
Vzhledem k objemu dat: " dword: 00000000 "
Nastaví hodnotu: " Třída "
S údaji: " LegacyDriver "
Nastaví hodnotu: " ClassGUID "
Vzhledem k objemu dat: "{ 8ECC055D-047F-11D1-A537-0000F8753ED1 } "
Nastaví hodnotu: " DeviceDesc "
S údaje: " <Servisní jméno> "
Nastaví hodnotu: " DeviceDesc "
Vzhledem k objemu dat: " <Servisní name> "
Sady hodnota: " Služba "
Vzhledem k objemu dat: " <Servisní name> "
Nastavuje hodnotu: " Legacy "
Vzhledem k objemu dat: " dword: 00000001 "
Nastaví hodnotu: " ConfigFlags "
Vzhledem k objemu dat: " dword: 00000000 "
Nastaví hodnotu: " Třída "
S údaji: " LegacyDriver "
Nastaví hodnotu: " ClassGUID "
Vzhledem k objemu dat: "{ 8ECC055D-047F-11D1-A537-0000F8753ED1 } "
Nastaví hodnotu: " DeviceDesc "
S údaje: " <Servisní jméno> "
Nastaví hodnotu: " DeviceDesc "
Vzhledem k objemu dat: " <Servisní name> "
V podklíč: HKLM \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_VMSERVICES \ 0000 \ Control
Nastaví hodnotu: "* NewlyCreated * "
Vzhledem k objemu dat: " dword: 00000000 "
Nastaví hodnotu: " ActiveService "
Vzhledem k objemu dat: " <Servisní name> "
Nastaví hodnotu: "* NewlyCreated * "
Vzhledem k objemu dat: " dword: 00000000 "
Nastaví hodnotu: " ActiveService "
Vzhledem k objemu dat: " <Servisní name> "
Užitečná
Umožňuje vzdálený přístup a ovládání
Backdoor:Win32/Jukbot.Bse pokusí připojit k předem velení a řízení serveru. Ve volné přírodě jsme zaznamenali malware připojením k jedné z domén "qianli8211.3322.org ".
Pomocí tohoto backdoor, může útočník provést řadu opatření k napadeným počítačem. Například, může útočník schopen provádět následující akce:
- Odstranit své služby
- Stáhnout a spouštět soubory z dané adresy URL
- Spouštět příkazy
- Restart, vypnutí a vypnutí počítače
- Zahájení odepření služby (DDoS) pomocí UDP, ICMP, HTTP povodně
- Zastavit útok DDoS
- Odstranění zadaný soubor
- Získejte typu disku
- Sklizeň soubory a odesílat na velení a řízení serveru
- Vytvoření a použití log soubor " c: \ bot.txt "
Backdoor může také zaslat informace zpět ke vzdálenému útočníkovi, například:
- Název počítače
- Operační systém verze
- Rychlost procesoru
- Fyzické paměti RAM
- Model procesoru
Analýza Rex Plantado
Žádné komentáře:
Okomentovat