Security Lab

Backdoor.Delf.gp

Backdoor.Delf.gp

Бэкдор, написанный на Delphi. Открывает 1080 и 32123 TCP порты для удаленных команд.

Название: Backdoor.Delf.gp

Язык: Delphi

Сервер: dropped files: c:\WINDOWS\SYSTEM\winupdate.exe размер: 61.820 байт c:\WINDOWS\SYSTEM\z_ins.lg размер: 49 байт

Описание: Бэкдор, написанный на Delphi. Открывает 1080 и 32123 TCP порты для удаленных команд. Прописывается в следующих ключах реестра:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Kernel
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "winupdate.exe"
  data: C:\WINDOWS\SYSTEM\winupdate.exe
    
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "winupdate.exe"
  data: C:\WINDOWS\SYSTEM\winupdate.exe 
  

После перезагрузки бэкдор пытается соединиться с FTP сервером.

Источник: MegaSecurity.org

Backdoor.Delf.gp

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!