Обнаруженный файл является разновидностью вредоносной программы Backdoor.Bot, скомпилированной 16.10.2015 в 06:08:13, после чего злоумышленником проведена проверка на ресурсе https://www.virustotaL.com 16.10.2015 в 07:57:04. Надо сказать, что на момент первичной проверки данная программа антивирусным программным обеспечением как вредоносная не определялась.
Анализ обнаруженной программы позволяет определить время ее компиляции (создания), а также ее функциональные возможности.
Кроме того, внимательное исследование вредоносной программы может дать множество полезной информации для дальнейшего расследования инцидента. Так, можно установить серверы, на которые вредоносной программой отправлялась информация и где может располагаться панель управления.
Оперативное отслеживание таких серверов позволяет пресекать деятельность злоумышленников и приводить деятельность вредоносной программы к бессмысленному исполнению. Если вредоносная программа типа бэкдора не получает команд и лишена обратной связи, ее нахождение в системе не сможет привести ни к каким плачевым последствиям.
Как правило, функционал бэкдора включает в себя оповещение злоумышленника о факте его запуска (установки). И обнаруженная разновидность также содержит возможность сбора и отправки файлов и другой информации посредством почтового сервиса.
В приведенном примере анализ вредоносной программы позволил выявить сетевую активность и установить ресурсы, к которым обращалась программа: IP-адреса и удаленные порты. Если правильно и своевременно использовать полученную информацию, она может многократно увеличить шансы на раскрытие преступления и установление злоумышленников.
Анализ сетевой активности указывает на обращение программы (обмен данными) к ресурсу http://Lastsnow.Link/, на момент времени проведения данного исследования указанный ресурс размещен на сервере с IP-адресом 109.236.90.125. Анализ сетевой активности программы указывает на обращение к IP-адресу 109.236.90.125 с использованием порта 80.
Функционал программы содержит возможность отправки файлов и другой информации посредством почтового сервиса gmail.com. Программа предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации, предоставления удаленного неправомерного доступа.
В процессе восстановления и анализа удаленной информации обнаружены также командные файлы (программы), предназначенные для модификации и удаления информации:
sys.bat 16.10.2015 13:39
4echoc.bat 16.10.2015 13:43
4echod.bat 16.10.2015 13:46