Backdoor.Win32. PoisonIvy.a

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Представляет собой Windows PE-EXE файл. Имеет размер 9216 байт.

Данный бекдор попадает на зараженный компьютер при помощи другого троянца Trojan-Dropper.Ichitaro.Tarodrop.b, использующего уязвимость в Ichitaro Office Suite.

Инсталляция

После запуска бекдор создет свою копию в корневом каталоге Windows с именем wab32.exe и запускает ее на исполнение: %Windir%\wab32.exe

После чего оригинальный запускаемый файл удаляется.

Также троянец создает следующий ключ реестра:

[HKLM\Software\Microsoft\Active Setup\Installed Components\{254F4E25-A65F-2764-0003-070806050704}]
 "StubPath"="%Windir%\wab32.exe"

Бекдор создает уникальный идентификатор «)!VoqA.I4» для определения своего присутствия в системе.

Деструктивная активность

Данный бекдор представляет из себя зашифрованную серверную часть распространенной утилиты удаленного администрирования Poison Ivy.

При помощи данного бекдора злоумышленник получает полный доступ к зараженному компьютеру и может выполнять различные команды. Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое.