{
	"id": "b699dad8-8210-41ad-b2ce-495b76889f2c",
	"created_at": "2026-04-06T00:19:11.621635Z",
	"updated_at": "2026-04-10T03:21:33.312361Z",
	"deleted_at": null,
	"sha1_hash": "a4413bcff2d19622ed9ddf7b339af3edce1dd3e8",
	"title": "Описание работы вируса Backdoor.Win32. Buterat.afj",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 62021,
	"plain_text": "Описание работы вируса Backdoor.Win32. Buterat.afj\r\nArchived: 2026-04-05 14:48:02 UTC\r\nВредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.\r\nЯвляется приложением Windows (PE-EXE файл). Имеет размер 89088 байт. Упакована неизвестным\r\nупаковщиком. Распакованный размер – около 181 КБ. Написана на C++.\r\nИнсталляция\r\nПосле запуска бэкдор копирует свое тело в файл:\r\n%APPDATA%\\netprotocol.exe\r\nПри этом для противодействия сигнатурным анализаторам антивирусных программ, в копии\r\nмодифицируются 2 байта:\r\nПодвергнутая подобной модификации копия детектируется Антивирусом Касперского как \"Trojan-PSW.Win32.Qbot.aem\". Для автоматического запуска созданной копии при каждом следующем старте\r\nсистемы создается ключ системного реестра:\r\n[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]\r\n\"Netprotocol\" = \"%APPDATA%\\netprotocol.exe\"\r\nЕсли данный ключ создать не удается, бэкдор создает ключ:\r\n[HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]\r\n\"Netprotocol\" = \"%APPDATA%\\netprotocol.exe\"\r\nПосле этого бэкдор запускает созданную копию на выполнение.\r\nДеструктивная активность\r\nБэкдор способен копировать свое тело в файл:\r\n%WorkDir%\\netprotocol.dll\r\nи, используя экспортируемую функцию \"_ClearEvent@12\", внедрять в адресное пространство процессов\r\nбраузеров:\r\nhttp://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html\r\nPage 1 of 4\n\nfirefox.exe\r\niexplore.exe\r\nopera.exe\r\nисполняемый код, перехватывающий вызовы API-функций:\r\nWSARecv\r\nrecv\r\nsend\r\nбиблиотеки \"ws2_32.dll\". Таким образом, бэкдор получает возможность следить за входящим и исходящим\r\nтрафиком браузеров, и по команде злоумышленника собирать информацию о поисковых запросах\r\nпользователя на сайты:\r\nhttp://rupoisk.ru\r\nhttp://ru.search.yahoo.com\r\nhttp://www.bing.com\r\nhttp://nigma.ru\r\nhttp://search.qip.ru\r\nhttp://nova.rambler.ru\r\nhttp://www.google.ru\r\nhttp://yandex.ru\r\nа также перенаправлять пользователя на следующие ресурсы:\r\nhttp://aut***gun.ru\r\nhttp://sear***tnik1.ru\r\nhttp://autoc***gun.ru\r\nhttp://ppc***gun.ru\r\nТакже по команде злоумышленника бэкдор может обновлять свой исполняемый файл, загружая\r\nобновление с сервера злоумышленника. Кроме того, может загружаться файл, сохраняемый в рабочем\r\nкаталоге бэкдора как:\r\n%WorkDir%\\netprotdrvss\r\nПосле успешной загрузки файл запускается на выполнение. Запросы к серверу злоумышленника, к\r\nпримеру, могут иметь следующий вид:\r\nуспешная установка бэкдора в системе:\r\n/nconfirm.php?rev=294\u0026code=3 m=2\u0026num=\r\nhttp://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html\r\nPage 2 of 4\n\n40401870851072\r\nзапрос на получение команды:\r\n/njob.php?num=\u0026rev=294\r\nзапрос на загрузку файла \"netprotdrvss\":\r\n/nconfirm.php?rev=294\u0026code=7 m=0\u0026num\r\n=40401870851072\r\nЧисло \"\" генерируется на основе текущего системного времени. Подстрока \"\" – имя сервера\r\nзлоумышленника, может принимать значения:\r\nhttp://sjd***sla.com\r\nhttp://sa***d.com\r\nhttp://se***nd.com\r\nhttp://ha***rd.net\r\nhttp://he***cy.com\r\nНа момент создания описания подключиться к указанным серверам не удалось. Имена команд,\r\nобрабатываемых бэкдором:\r\nZORKASITE\r\nZORKAFEED\r\nBODYCLICK\r\nKEYWORDS\r\nRUPFEED\r\nRUPPUBL\r\nXMLFEED\r\nREKLOSOFT\r\nTEASERNET\r\nMARKETGID\r\nSUPERPOISK\r\nRSCONTEXT\r\nSPUTNIK\r\nDIRECTST\r\nGOOGADS\r\nHOTLOGCH\r\nLIVINETCH\r\nBEGUNCH\r\nUPDATE\r\nSPLICEPROC\r\nCOOKREJCT\r\nhttp://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html\r\nPage 3 of 4\n\nZORKAFST\r\nSEPARATEPROC\r\nTERMINATE\r\nDESTROY\r\nТакже после запуска бэкдор выполняет следующие действия:\r\nбудучи запущенным с параметрами:\r\n/updatefile3\r\n/updatefile2\r\n/updatefile1\r\nбэкдор обновляет свой исполняемый файл, загружая обновление с сервера злоумышленника.\r\nВызывая функцию \"InternetClearAllPerSiteCookieDecisions\", очищает содержимое ветви системного\r\nреестра:\r\n[HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\\r\nP3P\\History]\r\nСоздает ключи системного реестра:\r\n[HKLM\\Software\\Microsoft\\Netprotocol]\r\n\"UniqueNum\" = \"\"\r\n[HKCU\\AppEvents\\Schemes\\Apps\\Explorer\\Navigating\\.Current]\r\n\"(Default)\" = \"\"\r\n[HKCR\\MIME\\Database\\Content Type\\application/x-javascript]\r\n\"CLSID\" = \"{25336920-03F9-11cf-8FD0-00AA00686F13}\"\r\n[HKCR\\MIME\\Database\\Content Type\\text/javascript]\r\n\"CLSID\" = \"{25336920-03F9-11cf-8FD0-00AA00686F13}\"\r\nSource: http://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html\r\nhttp://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://antivirnews.blogspot.com/2011/01/backdoorwin32-buteratafj.html"
	],
	"report_names": [
		"backdoorwin32-buteratafj.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434751,
	"ts_updated_at": 1775791293,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a4413bcff2d19622ed9ddf7b339af3edce1dd3e8.pdf",
		"text": "https://archive.orkl.eu/a4413bcff2d19622ed9ddf7b339af3edce1dd3e8.txt",
		"img": "https://archive.orkl.eu/a4413bcff2d19622ed9ddf7b339af3edce1dd3e8.jpg"
	}
}