Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы
Инсталляция
При запуске данный троянец копирует себя в системный каталог Windows (%System%) под именем «Kernl32.exe».
Для автоматического запуска при каждом последующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "KRNL" = "Kernl32.exe"
Деструктивная активность
Троянская программа получает информацию об имени зараженного компьютера и свободном пространстве на дисках. Собранные данные в зашифрованном виде («<системное_время>.gif») отправляются по следующим адресам (с использованием соответствующих логинов и паролей):
* www.chat.ru * ftp.geocities.com * upload.digiweb.com
Попытка соединения при этом осуществляется ежеминутно.
Также бэкдор открывает произвольный TCP-порт и ожидает команд от злоумышленника. Последнему это позволяет осуществлять такие действия, как:
* получение системной информации; * доступ к активным соединениям и паролям пользователя; * загрузка/удаление файлов; * запуск программ на исполнение; * создание/удаление каталогов.
Другие названия
Backdoor.Win32.Zomby.b («Лаборатория Касперского») также известен как: Backdoor.Zomby.b («Лаборатория Касперского»), W32/Kernl (McAfee), W32.Ernl (Symantec), BackDoor.Zomby (Doctor Web), Troj/Kernl (Sophos), Backdoor:Win32/Zomby (RAV), TROJ_ZOMBY.B (Trend Micro), BDS/Zomby.B.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Zomby (Grisoft), Backdoor.Zomby.B (SOFTWIN), Backdoor Program (Panda), Win32/Zomby.B (Eset)
Храним важное в надежном месте