Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Инсталляция
При инсталляции бэкдор запускает процесс «svchost.exe» и внедряет в него свой код.
Исполняемый файл вируса копируется в системную папку Windows. Имя файла-копии формируется следующим образом: из системной папки берется произвольный файл, в конец его имени добавляются случайным образом выбранная строчная буква латинского алфавита и расширение «.exe».
С целью автоматического запуска при последующем старте ОС троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Wupdate" = "<путь до исполняемого файла бэкдора>"
Деструктивная активность
На зараженной машине вредоносная программа выполняет следующие действия:
* Изменяет значение ключа системного реестра на следующее:
[HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters] DisableRawSecurity = 1
* Завершает работу службы «sharedaccess».
* Похищает информацию об учетных записях Microsoft Outlook (включая пароли) из параметров ключей реестра:
[HKLM\Software\Microsoft\Internet Account Manager\Accounts] SMTP Email Address SMTP Server SMTP Port POP3 User Name POP3 Server POP3 Port IMAP Port IMAP Server IMAP User Name HTTPMail User Name HTTPMail Server
* Похищает информацию об учетных записях Opera Mail (включая пароли).
* В файле конфигурации «<Папка с установленной Opera>\Mail\accounts.ini» читает значения параметров:
Incoming Username
Incoming Servername
Incoming Password
* Похищает содержимое файла «<Папка с установленной Opera>\profile\wand.dat».
* Получает список посещаемых пользователем интернет-сайтов.
Собранные сведения бэкдор сохраняет в файл-отчет, располагающийся во временной папке Windows. Отчет периодически отсылается на электронную почту злоумышленника.
* Подключается к IRC-серверу, используя 6667 TCP-порт, и получает от злоумышленника команды удаленного управления.
* Позволяет злоумышленнику производить атаки следующих типов:
o DDOS (c использованием ICMP-пакетов);
o IP Spoofing.
И мы тоже не спим, чтобы держать вас в курсе всех угроз