ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.RemShell.24

Добавлен в вирусную базу Dr.Web: 2020-09-29

Описание добавлено:

  • Упаковщик: отсутствует

Описание

Бэкдор, написанный на C и работающий в среде 32-битных операционных систем семейства Microsoft Windows. Позволяет дистанционно управлять зараженными компьютерами, реализуя функции remote shell — запуска cmd.exe и перенаправления ввода-вывода на управляющий сервер злоумышленника. Оригинальное название вредоносного модуля: client_dll.dll.

Принцип действия

Библиотека имеет одну экспортируемую функцию, в которой реализована основная функциональность бэкдора: ServiceMain.

В начале своей работы создает мьютекс для исключения параллельного запуска своей копии. Затем расшифровывает строки операцией XOR с байтом 0x0F. Список расшифрованных строк:

Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.2;+SV1;
  ns02.ns02.us/<redacted>/0xD.html
  /webdav/0.htm
  /webdav/%s.htm
  %02d%02d
  -download
  Download OK!
  Download failed...
  -pslist
  -pskill
  -upload
  Upload OK!
  Upload failed...
  Process is Killed!
  Process killed failed.
  -exit
  cmd.exe /c  
  

В качестве обоих первичных управляющих серверов в теле бэкдора записан URL: ns02[.]ns02[.]us/<redacted>/0xD.html.

После расшифровки строк BackDoor.Remshell.24 использует формат %02d%02d для сохранения текущих минуты и секунды. Эти значения затем используются в запросах к управляющему серверу.

Далее запускается отдельный поток, в котором в бесконечном цикле происходит попытка получения или обновления адреса управляющего сервера второго уровня. Как только адрес управляющего сервера второго уровня получен, программа запускает поток, в котором отправляет heartbeat-запросы к этому серверу.

Затем бэкдор периодически запрашивает команды у управляющего сервера и выполняет их.

Получение адреса управляющего сервера второго уровня

Для получения адреса на указанный в конфигурации URL отправляется GET-запрос. В ответ сервер присылает строку вида -set <arg> или -SET <arg>, где <arg> является числом или IP-адресом. Полученное число интерпретируется как интервал обращения по указанному в конфигурации URL. Если получен IP-адрес, то бэкдор считает его управляющим сервером второго уровня.

Стоит отметить, что поток не прекращает своей работы при получении действительного адреса управляющего сервера. Он продолжает работать, что позволяет менять адреса управляющего сервера без перезапуска бэкдора.

Протокол связи с управляющим сервером второго уровня

В начало данных, отправляемых PUT-запросом, бэкдор дописывает заголовок, состоящий из 5 байтов, который является строкой, сформированной по формату %02d%02d. В эту строку подставляются значения минуты и секунды, когда был сформирован запрос.

При этом данные запроса и ответа зашифрованы. Значение каждого отправляемого байта данных запроса уменьшается на 0x7F, а каждого принятого байта — увеличивается на 0x7F.

В качестве heartbeat-запросов отправляется PUT-запрос на <cnc_addr>/webdav/0.htm с данными, содержащими имя зараженного компьютера и значения минуты и секунды, когда был запущен бэкдор.

Для запроса команд от управляющего сервера бэкдор отправляет GET-запрос на <cnc_addr>/webdav/O.html. Затем расшифровывает ответ сервера и парсит его на наличие команд.

Список команд:

Команда Описание
-downloadСкачать указанный файл
-exitЗавершить работу бэкдора
-pskillЗавершить указанный процесс
-pslistСформировать список процессов
-uploadОтправить на управляющий сервер указанный файл
другиеЗапускаются через cmd.exe /c

Ответы на команды отправляются PUT-запросами на адрес <cnc_addr>/webdav/<minsec>.htm, где <minsec> — значения минуты и секунды, когда был запущен бэкдор.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А