Backdoor.Win32. Zomby.b

Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы. Является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Ничем не упакована. Написана на Visual С++.

Инсталляция

При запуске данный троянец копирует себя в системный каталог Windows (%System%) под именем «Kernl32.exe».

Для автоматического запуска при каждом последующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "KRNL" = "Kernl32.exe"

Деструктивная активность

Троянская программа получает информацию об имени зараженного компьютера и свободном пространстве на дисках. Собранные данные в зашифрованном виде («<системное_время>.gif») отправляются по следующим адресам (с использованием соответствующих логинов и паролей):

  
      * www.chat.ru
      * ftp.geocities.com
      * upload.digiweb.com
  

Попытка соединения при этом осуществляется ежеминутно.

Также бэкдор открывает произвольный TCP-порт и ожидает команд от злоумышленника. Последнему это позволяет осуществлять такие действия, как:

  
      * получение системной информации;
      * доступ к активным соединениям и паролям пользователя;
      * загрузка/удаление файлов;
      * запуск программ на исполнение;
      * создание/удаление каталогов.
  

Другие названия

Backdoor.Win32.Zomby.b («Лаборатория Касперского») также известен как: Backdoor.Zomby.b («Лаборатория Касперского»), W32/Kernl (McAfee), W32.Ernl (Symantec), BackDoor.Zomby (Doctor Web), Troj/Kernl (Sophos), Backdoor:Win32/Zomby (RAV), TROJ_ZOMBY.B (Trend Micro), BDS/Zomby.B.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Zomby (Grisoft), Backdoor.Zomby.B (SOFTWIN), Backdoor Program (Panda), Win32/Zomby.B (Eset)