Упаковщик: отсутствует
Дата компиляции: 08:12:31 27.12.2018
SHA1-хеш:
- 314b259739f4660e89221fa2e8990139a84611a9 (CMD_UDP_DLL.dll)
Описание
Является бэкдором для операционных систем семейства Microsoft Windows. Позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell — запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленника. Троян написан на C++; PDB-файл с отладочной информацией при компиляции на компьютере злоумышленника располагался по адресу C:\VS2010\CMD_UDP_Server\Release\CMD_UDP_DLL.pdb.
Принцип действия
BackDoor.CmdUdp.1 имеет следующие экспортируемые функции:
??0CCMD_UDP_DLL@@QAE@XZ
??4CCMD_UDP_DLL@@QAEAAV0@ABV0@@Z
?fnCMD_UDP_DLL@@YAHXZ
?nCMD_UDP_DLL@@3HA
LoadProc
ServiceMain
Попав на целевой компьютер, троян может работать как с установкой в систему, так и без нее. В первом случае используется экспорт функции ServiceMain, во втором — экспорт функции LoadProc. Для обеспечения собственной автозагрузки бэкдор устанавливается в систему в качестве службы. Раз в 3 минуты BackDoor.CmdUdp.1 передает на управляющий сервер tv.teldcomtv.com:8080 сообщение hello и ждет дальнейших команд.
Связь с сервером выполняется по протоколу UDP.
В ответ сервер может отправить трояну одно из нескольких управляющих слов:
hello;
world;
exit.
Команда «hello»
При получении этой команды бэкдор запускает процесс cmd.exe, при этом ввод и вывод командного интерпретатора перенаправляются в 2 неименованных канала (пайпа). В случае успешного создания процесса на сервер отправляется сообщение cmd OK. Кроме того, запускается поток, в котором троян будет отправлять на сервер данные из stdout/stderr процесса cmd.exe. Если запустить cmd.exe не удалось, бэкдор уведомляет об этом сервер, отправляя cmd err.
Команда «world»
Эта команда останавливает на 1 секунду основной запущенный поток cmd.exe.
Команда «exit»
Команда завершает созданный ранее процесс cmd.exe. Если ответ сервера не содержит ни одной из трех указанных команд, то его содержимое отправляется в cmd.exe на исполнение.
