Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.
Данный бекдор попадает на зараженный компьютер при помощи другого троянца Trojan-Dropper.Ichitaro.Tarodrop.b, использующего уязвимость в Ichitaro Office Suite.
Инсталляция
После запуска бекдор создет свою копию в корневом каталоге Windows с именем wab32.exe и запускает ее на исполнение: %Windir%\wab32.exe
После чего оригинальный запускаемый файл удаляется.
Также троянец создает следующий ключ реестра:
[HKLM\Software\Microsoft\Active Setup\Installed Components\{254F4E25-A65F-2764-0003-070806050704}]
"StubPath"="%Windir%\wab32.exe"
Бекдор создает уникальный идентификатор «)!VoqA.I4» для определения своего присутствия в системе.
Деструктивная активность
Данный бекдор представляет из себя зашифрованную серверную часть распространенной утилиты удаленного администрирования Poison Ivy.
При помощи данного бекдора злоумышленник получает полный доступ к зараженному компьютеру и может выполнять различные команды. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое.
Храним важное в надежном месте