Backdoor.Win32. Protux.n

Троянская программа, открывающая злоумышленнику удаленный доступ к компьютеру пользователя. Является приложением Windows (PE EXE-файл). Размер компонентов бэкдора варьируется в пределах от 9 до 62 КБ.

Инсталляция

При запуске вирус копирует свой исполняемый файл в системный каталог Windows:

  %System%\winlog.exe

Ссылка на данный файл добавляется в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\winlog.exe"

Затем оригинальный файл бэкдора удаляется.

Деструктивная активность

Вредоносная программа предоставляет злоумышленнику возможность удаленно выполнять на компьютере пользователя следующие действия:

    * запускать HTTP прокси-сервер;
    * добавлять/удалять/запускать/останавливать системные службы;
    * получать полный доступ к жесткому диску зараженной машины 
    (просматривать содержимое папок, копировать/переименовывать/удалять файлы, 
     загружать файлы);
    * запускать различные процессы;
    * выполнять произвольные консольные команды в системе;
    * удаленно работать с системным реестром (создавать/удалять/редактировать ключи
     и их параметры);
    * получать информацию об ОС: версия Windows, тип и частота процессора.