Backdoor.Win32. Rbot.bnb

Троянская программа, позволяющая злоумышленнику иметь удаленный доступ к зараженному компьютеру, выполняя управление по протоколу IRC. Является приложением Windows (PE-EXE файл). Имеет размер 40717 байт. Упакована с помощью FSG. Распакованный размер — около 120 КБ.

Инсталляция

При инсталляции бекдор запускает процесс svchost.exe, приостанавливает его, после чего внедряет в его адресное пространство извлеченный из ресурсов троянского исполняемого файла код и передает ему управление. После этого бекдор завершает свою работу.

Деструктивная активность

Внедренный в процесс svchost.exe код является управляемым через IRC бэкдором, который может выполнять следующие действия:

* позволяет злоумышленнику получать полный доступ к файлам на жестком диске пользователя;

* позволяет загружать файлы на компьютер пользователя и запускать их;

* позволяет отправлять злоумышленнику файлы пользователя;

* позволяет открывать URL без ведома пользователя;

* позволяет производить атаки HTTP, SYN, UDP и ICMP Flood на другие компьютеры в сети;

* запускает SMTP-прокси (это может быть использовано злоумышленниками для рассылки спама с компьютера пользователя);

* запускает на компьютере пользователя HTTP-прокси;

* делает скриншоты рабочего стола пользователя и отсылает их злоумышленнику;

* позволяет завершать запущенные процессы в системе;

* позволяет выполнять любые команды на компьютере пользователя.

Бекдор слушает входящие соединения на 21, 1362, 2400 и 8877 TCP-портах.