В продолжение http://dump.iof.ru/38374.html
http://3dnews.ru/software-news/micros.. .._udalyat_modul_zashiti_ot_sony-70246/
15/11/2005 13:34, Сергей Бондаренко
Корпорация Microsoft сообщила о своем решении добавить в базу данных программы Microsoft's Malicious Software Removal Tool определение модуля, который обеспечивает защиту от копирования новых дисков Sony. После того, как этот модуль был обнаружен, в течение нескольких недель производители антишпионского программного обеспечения спорили о том, нужно ли заносить его в базы программ. Microsoft решила, что все же нужно, и новая версия Malicious Software Removal Tool будет определять и удалять его. Компания Sony подверглась жесточайшей критике своей новой защиты от пиратства. Мало того, что эта система включает модуль, почти ничем не отличающийся от тех, которые устанавливаются вредоносными программами, так она еще и открывает возможности доступа к компьютеру для хакеров. Так, на прошлой неделе мы уже писали о появлении трояна, использующего модуль от Sony для прикрытия. Кстати, компания уже сообщила о том, что временно прекратила выпуск аудио дисков со злополучной защитой.
Ну вот, началось: Backdoor.Win32.Breplibot.b
Backdoor.Win32.Breplibot.b
Детектирование добавлено 12 ноя 2005
Описание опубликовано 14 ноя 2005
Поведение Backdoor, троянская программа удаленного администрирования
Технические детали
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.
Представляет собой Windows PE EXE-файл размером 10240 байт. Файл упакован UPX. Размер распакованного файла — около 31 КБ.
Первоначально данный бэкдор был разослан при помощи спам-рассылки.
Инсталляция
После запуска бэкдор копирует себя в системный каталог Windows с именем $sys$drv.exe:
%System%\$sys$drv.exe
Это имя позволяет вредоносной программе быть скрытой посредством ставшего широкоизвестным руткита от Sony. Сокрытие программы произойдет, только если на компьютере функционирует DRM-защита, поставляющаяся на некоторых Audio CD Sony.
После запуска бэкдор создает следующий ключ в реестре:
[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
"$sys$drv"="$sys$drv.exe"
Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:
$sys$drv.exe
SonyEnabled
После чего оригинальный запускаемый файл удаляется.
Действие
Программа соединяется со следующими IRC-серверами и получает команды удаленного управления от «хозяина»:
152.7.24.186
24.210.44.45
35.10.203.93
67.171.67.190
68.101.14.76
Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Также бэкдор имеет функцию обмана стандартного Windows Firewall: он прописывает себя в списке разрешенных программ, после чего его действия не могут быть заблокированы.