Backdoor.Win32. Poison.h

Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5040 байт.

Инсталляция

При запуске бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\com.exe

Затем создается следующий ключ реестра:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{04F4BA85-A3C7-4235-0200-060204060705}]
"StubPath" = "%System%\com.exe"

Деструктивная активность

Вирус запускает процесс, на который указывает ключ реестра:

  [HKLM\SOFTWARE\Classes\http\shell\open\command]

В этот процесс бэкдор внедряет свой код, периодически пытающийся установить соединение с адресом nimabi.serve***r.com и получить сценарий своей работы.

В сценарии могут быть прописаны следующие действия:

* загрузка файлов из сети Интернет на компьютер пользователя с последующим их запуском
* предоставление злоумышленнику информации о системе

Указанный код также внедряется в процесс «explorer.exe» и проверяет наличие запускаемого файла бэкдора на жестком диске и ключа автозапуска в системном реестре.