Security Lab

Backdoor.Win32. Zomby.b

Backdoor.Win32. Zomby.b

Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы

Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы. Является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Ничем не упакована. Написана на Visual С++.

Инсталляция

При запуске данный троянец копирует себя в системный каталог Windows (%System%) под именем «Kernl32.exe».

Для автоматического запуска при каждом последующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "KRNL" = "Kernl32.exe"

Деструктивная активность

Троянская программа получает информацию об имени зараженного компьютера и свободном пространстве на дисках. Собранные данные в зашифрованном виде («<системное_время>.gif») отправляются по следующим адресам (с использованием соответствующих логинов и паролей):

  
      * www.chat.ru
      * ftp.geocities.com
      * upload.digiweb.com
  

Попытка соединения при этом осуществляется ежеминутно.

Также бэкдор открывает произвольный TCP-порт и ожидает команд от злоумышленника. Последнему это позволяет осуществлять такие действия, как:

  
      * получение системной информации;
      * доступ к активным соединениям и паролям пользователя;
      * загрузка/удаление файлов;
      * запуск программ на исполнение;
      * создание/удаление каталогов.
  

Другие названия

Backdoor.Win32.Zomby.b («Лаборатория Касперского») также известен как: Backdoor.Zomby.b («Лаборатория Касперского»), W32/Kernl (McAfee), W32.Ernl (Symantec), BackDoor.Zomby (Doctor Web), Troj/Kernl (Sophos), Backdoor:Win32/Zomby (RAV), TROJ_ZOMBY.B (Trend Micro), BDS/Zomby.B.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Zomby (Grisoft), Backdoor.Zomby.B (SOFTWIN), Backdoor Program (Panda), Win32/Zomby.B (Eset)

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь