TROJ_INCOMM16A.S: зловредный троян позволяет хакеру делать на вашей машине все, что ему вздумается

TROJ_INCOMM16A.S — троянский конь, представляющий собой утилиту скрытого администрирования (backdoor) компьютеров в сети с удаленного терминала. Троянец состоит из серверной и клиентской компонент. Серверная часть инфицирует компьютеры, а клиентская позволяет злоумышленнику удаленно подключаться к зараженным машинам и получать оттуда различную информацию, а также выполнять на них всевозможные действия.

После выполнения серверной компоненты на компьютере-жертве троянец записывает в каталог Windows свою копию в виде файла SERVER16.EXE и запускает этот файл на выполнение. Вследствие этого на зараженном компьютере будут созданы два файла, содержащие конфигурационные установки для «сервера»:

SYSMON.DRV
NT.INI

Для того, чтобы выполняться после каждого последующего старта системы, троянец записывает в секцию авто-запуска системного реестра ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunrun=C:%windir%server16.exe

где %windir% — каталог Windows

Троянец также модифицирует файл WIN.INI, добавляя в него команду:

Run=server16.exe

И затем создает в системном реестре еще один ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsAppTitle1=»RsApi32″

После этого троянец, используя ICQ, посылает своему хозяину уведомление об очередной, попавшеся на крючок жертве:

From: 1.6.5 Srv16
Subject: Ready for Action
Message: {PORT:%Sever TCP port%}
{Victim: Srv16b4}
{Version:1.6.5}
{Ip:%IP-адрес жертвы%}

Троянец остается резидентно в памяти Windows как скрытый процесс и работает незаметно для пользователя зараженного компьютера, будучи невидимым в списке задач.

С помощью специального интерфейса удаленный хакер, используя клиентскую часть троянца, может подключаться к зараженным системам и выполнять на них следующие действия:

• запускать FTP-сервис (используя 22 TCP-порт)
• вести логи нажатий клавиш на клавиатуре
• посылать комбинации нажатий клавиш активным приложениям
• получать параметры удаленного доступа
• получать системную информацию
• получать список текущих процессов
• перехватывать изображения дисплея
• переговариваться с пользователем инфицированной машины
• искать файлы
• закачивать плагины
• закачивать/скачивать/выполнять файлы
• уничтожать файлы/каталоги
• переворачивать «вверх ногами» изображение экрана
• изменять установки рабочего стола, например — системные цвета
• изменять установки мыши, например перенастраивать значения кнопок на противоположные
• выводить на экран ложную кнопку «Пуск» и Панель задач
• изменять системную дату
• проигрывать звуковые файлы
• скрывать/заменять системный трей
• получать пароли
• «играть» лампочками на клавиатуре
• управлять активными окнами (закрывать, передвигать, минимизировать, раскрывать на весь экран)
• отключать/включать монитор
• издавать звуки спикером
• открывать интернет-браузер, устанавливать стартовую страницу и заголовок окна браузера
• делать Logoff/shutdown/restart системы
• закрывать «сервер»
• изменять конфигурацию «сервера»