Backdoor.Win32. Small.os

Троянская программа, открывающая злоумышленнику удаленный доступ к ресурсам компьютера. Является приложением Windows (PE EXE-файл). Имеет размер 7680 байт.

Инсталляция

При установке бэкдор извлекает из своего тела следующий файл размером 6144 байта:

%System%\perfc000.dat

Для автоматического запуска при новом старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\perfc000.dat"

Деструктивная активность

После запуска троянец регистрируется на сервере hq-pharma.org и отправляет туда информацию о зараженной операционной системе.

С указанного сервера вредоносная программа получает интернет-ссылки для загрузки файлов на компьютер пользователя.

После успешной закачки файлов и их запуска на исполнение бэкдор удаляет свой исполняемый файл.