Security Lab

Backdoor.Win32. Protux.n

Backdoor.Win32. Protux.n

Троянская программа, открывающая злоумышленнику удаленный доступ к компьютеру пользователя.

Троянская программа, открывающая злоумышленнику удаленный доступ к компьютеру пользователя. Является приложением Windows (PE EXE-файл). Размер компонентов бэкдора варьируется в пределах от 9 до 62 КБ.

Инсталляция

При запуске вирус копирует свой исполняемый файл в системный каталог Windows:

  %System%\winlog.exe

Ссылка на данный файл добавляется в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\winlog.exe"

Затем оригинальный файл бэкдора удаляется.

Деструктивная активность

Вредоносная программа предоставляет злоумышленнику возможность удаленно выполнять на компьютере пользователя следующие действия:

    * запускать HTTP прокси-сервер;
* добавлять/удалять/запускать/останавливать системные службы;
* получать полный доступ к жесткому диску зараженной машины
(просматривать содержимое папок, копировать/переименовывать/удалять файлы,
загружать файлы);
* запускать различные процессы;
* выполнять произвольные консольные команды в системе;
* удаленно работать с системным реестром (создавать/удалять/редактировать ключи
 и их параметры);
* получать информацию об ОС: версия Windows, тип и частота процессора.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!