Троянская программа, открывающая злоумышленнику удаленный доступ к компьютеру пользователя.
Инсталляция
При запуске вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\winlog.exe
Ссылка на данный файл добавляется в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\winlog.exe"
Затем оригинальный файл бэкдора удаляется.
Деструктивная активность
Вредоносная программа предоставляет злоумышленнику возможность удаленно выполнять на компьютере пользователя следующие действия:
* запускать HTTP прокси-сервер;
* добавлять/удалять/запускать/останавливать системные службы;
* получать полный доступ к жесткому диску зараженной машины
(просматривать содержимое папок, копировать/переименовывать/удалять файлы,
загружать файлы);
* запускать различные процессы;
* выполнять произвольные консольные команды в системе;
* удаленно работать с системным реестром (создавать/удалять/редактировать ключи
и их параметры);
* получать информацию об ОС: версия Windows, тип и частота процессора.
Собираем и анализируем опыт профессионалов ИБ