BackDoor.Rebbew

Tip: Backdoor Marime: ~39K Raspandire: Redusa Risc: Mediu Backdoor-ul soseste in mesaje de e-mail care apar in urmatorul format: De la: Wells Fargo Accounting Subiect: Re: Wells Fargo Bank New

Tip: Backdoor Marime: ~39K Raspandire: Redusa Risc: Mediu Backdoor-ul soseste in mesaje de e-mail care apar in urmatorul format: De la: Wells Fargo Accounting Subiect: Re: Wells Fargo Bank New Business Account Application - ID# 4489 Atunci cand utilizatorul deschide atasamentul (detectat de BitDefender ca Trojan.Downloader .Rebbew), programul se decripteaza si incearca sa descarce de pe Internet varianta principala a programului backdoor=ului, pe care il ruleaza ulterior, in primul rand, virusul verifica daca este deja rezident in memorie (fapt realizat prind deschiderea obiectului Mufex "Webber10_"); daca nu este, se instaleaza in memorie. Dupa aceea creeaza o copie in directorul System32, folosind un nume de fisier general aleatoriu; de asemenea creeaza un fisier DLL in acelasi director, pe care il foloseste pentru a rula programul backdoor-ului principal. Backdoor-ul poate fi configurat cu usurinta: principalul fisier executabil prezinta date aditionale, folosite ca un fisier de configurare la pornirea sistemului. Aceste date pot fi utilizate pentru a specifica porturi pe care virusul le urmareste sau situri unde sa incarce datele confidentiale extrase din calculator etc. Acest virus extrage parole (atat RAS, cat si de web) si le trimite creatorului. Partea interesanta prezentata de acest backdoor consta in capacitatea sa de a ramane "invizibil", atat pe platformele Windows 9x/Me, cat si 2000/XP. Procesul viral este ascuns intr-un mod destul de avansat: 1) Pentru sistemele Windows 9x/Me, virusul capteaza functia "Process32Next"; cand un program incearca sa enumere procesele, backdoorul isi "filtreaza" propriul sau proces. 2) Pentru Windows 2000/XP, virusul capteaza functia "NtQuerySysteminformation" si isi filtreaza propriul proces. Pe platformele de operare 9x, metoda functioneaza fara probleme; exista un singur fisier kernel32.dll in memorie, iar scrierea peste acesta este vizibila in alte procese. Pe platformele 2000/XP, lucrurile difera putin intrucat fiecare proces primeste o copie proprie din fisierele de sistem, protejata de mecanismul COW (copy-on-write). Cand un proces incearca sa scrie un fisier de sistem DLL, sistemul in mod automat creeaza o copie, scrie datele in acea copie, lasand nemodificat fisierul DLL initial. Cu toate acestea, virusul utilizeaza un truc menit sa-l poata face sa scrie in zona de memorie a ntdll.dll. Nota: Virusii din aceasta rubrica pot fi eliminati cu antivirusul BitDefender, produs de compania Softwin.