Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру пользователя.
Инсталляция
При запуске бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%\com.exe
Затем создается следующий ключ реестра:
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{04F4BA85-A3C7-4235-0200-060204060705}]
"StubPath" = "%System%\com.exe"
Деструктивная активность
Вирус запускает процесс, на который указывает ключ реестра:
[HKLM\SOFTWARE\Classes\http\shell\open\command]
В этот процесс бэкдор внедряет свой код, периодически пытающийся установить соединение с адресом nimabi.serve***r.com и получить сценарий своей работы.
В сценарии могут быть прописаны следующие действия:
* загрузка файлов из сети Интернет на компьютер пользователя с последующим их запуском
* предоставление злоумышленнику информации о системе
Указанный код также внедряется в процесс «explorer.exe» и проверяет наличие запускаемого файла бэкдора на жестком диске и ключа автозапуска в системном реестре.
Спойлер: мы раскрываем их любимые трюки