Троянская программа, позволяющая злоумышленнику иметь удаленный доступ к зараженному компьютеру, выполняя управление по протоколу IRC.
Инсталляция
При инсталляции бекдор запускает процесс svchost.exe, приостанавливает его, после чего внедряет в его адресное пространство извлеченный из ресурсов троянского исполняемого файла код и передает ему управление. После этого бекдор завершает свою работу.
Деструктивная активность
Внедренный в процесс svchost.exe код является управляемым через IRC бэкдором, который может выполнять следующие действия:
* позволяет злоумышленнику получать полный доступ к файлам на жестком диске пользователя;
* позволяет загружать файлы на компьютер пользователя и запускать их;
* позволяет отправлять злоумышленнику файлы пользователя;
* позволяет открывать URL без ведома пользователя;
* позволяет производить атаки HTTP, SYN, UDP и ICMP Flood на другие компьютеры в сети;
* запускает SMTP-прокси (это может быть использовано злоумышленниками для рассылки спама с компьютера пользователя);
* запускает на компьютере пользователя HTTP-прокси;
* делает скриншоты рабочего стола пользователя и отсылает их злоумышленнику;
* позволяет завершать запущенные процессы в системе;
* позволяет выполнять любые команды на компьютере пользователя.
Бекдор слушает входящие соединения на 21, 1362, 2400 и 8877 TCP-портах.
Но доступ к знаниям открыт для всех