Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

BackDoor.Yebot

Добавлен в вирусную базу Dr.Web:2014-09-05
Описание добавлено:2015-03-23

Многофункциональная и многомодульная троянская программа-бэкдор, написанная на языке Си. Распространяется с использованием троянца Trojan.Siggen6.31836. Обладает следующими функциональными возможностями:

  • запуск на инфицированном компьютере FTP-сервера;
  • запуск на инфицированном компьютере Socks5 прокси-сервера;
  • модификация протокола RDP для обеспечения удаленного доступа к инфицированному компьютеру;
  • фиксация нажатий пользователем клавиш (кейлоггинг);
  • возможность установки обратной связи с инфицированным ПК для FTP, RDP и Socks5, если в сети используется NAT (бэкконнект);
  • перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
  • перехват токенов SCard;
  • встраивание в просматриваемые пользователем веб-страницы постороннего содержимого (веб-инжекты);
  • расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
  • модификация кода запущенного процесса в зависимости от принятого конфигурационного файла;
  • взаимодействие с различными функциональными модулями (плагинами);
  • создание снимков экрана;
  • поиск в инфицированной системе приватных ключей.

Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол, при этом оба протокола используют для обмена данными порт 80. Примеры HTTP-запросов:

http://46.***.***.94/d/i.html?b=88B22416&c=88B22416

По этому запросу загружается переупакованный троянец-лоадер полезной нагрузки Trojan.Siggen6.31836.

http://46.***.***.94/t/i.html?b=88B22416&c=88B22416

Запрос зашифрованного алгоритмом RC4 файла конфигурации, который после расшифровки имеет следующую структуру:

<?xml version="1.0" encoding="utf-8"?>
<tasks>
<task taskid="49">
<startat>0</startat>
<stopat>0</stopat>
<daemonconf>46.***.***.94:80:some_magic_code1</daemonconf>
<plugin>internal</plugin>
<exec_type>3</exec_type>
<function>sndbtnfo</function>
<params />
</task>
<task taskid="525">
<startat>0</startat>
<stopat>0</stopat>
<daemonconf>46.***.***.94:80:some_magic_code1</daemonconf>
<plugin>internal</plugin>
<exec_type>0</exec_type>
<function>curls</function>
<params>
<param>46.***.***.24</param>
<param>46.***.***.94</param>
</params>
</task>
</tasks>

Запрос загрузки дополнительных модулей (плагинов):

http://46.***.***.94/tp/i.html?m=<имя плагина>&b=98B22416&s=0&c=98B22416

Запрос списка управляющих серверов:

http://46.***.***.94/dc/i.html?b=88B22416

Отчет троянской программы о выполнении задачи:

http://46.***.***.94/t/r.html?b=88B22426&tid=525

Отчет троянской программы со сведениями о версии бота:

http://46.***.***.94/u/i.html?b=88B22416&p=1&v=20&c=88B22426

Используемый бэкдором бинарный протокол имеет заголовок:

struct thead
{
  BYTE magic[16]; //some_magic_code1
  DWORD d1; //0
  DWORD Bid;
  DWORD d3; //0
};

Далее следует информация о типе передаваемого сообщения:

#pragma pack(push, 1)
struct tbody1
{
  DWORD Size; //размер сообщения SizeData+2
  WORD Op; //номер команды
};
struct tbody2
{
  DWORD Flag; 
  WORD Op; //номер команды
  DWORD Size; //размер сообщения SizeData
};
#pragma pack(pop)

Далее передаются данные, размер сообщения соответствует параметру, заданному переменной SizeData. Поддерживаются следующие команды:

  • 450 — создать в системе нового пользователя с заданным именем;
  • 351, 352 — изменить правила PCRE для перехвата данных;
  • 108 — скачать и запустить плагин в памяти компьютера;
  • 102,105 — задать конфигурацию для модификации протокола RDP;
  • 400 — задать конфигурацию для веб-инжектов;
  • 777 — подготовить указанные отчеты;
  • 200 — отправить на командный сервер информацию об инфицированной машине;
  • 350 — отправить на командный сервер похищенные ключи и данные.

Управляющий сервер троянца обладает параноидальными настройками: например, он может занести IP-адрес в черный список при поступлении с него некорректного запроса или при поступлении слишком большого количества запросов с одного IP-адреса.

Новость о троянце

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А