Backdoor.Selka

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.

При запуске Backdoor.Selka выполняет следующие действия:

1.Копирует себя в %System%\WIN32SVC.EXE.

2.Создает сервис со следующими свойствами:

 
  Service Name: win32svc
  Display Name: Win32 service 

3.Создает следующие подключи реестра:

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32svc
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WIN32SVC
  HKEY_LOCAL_MACHINE\Software\Netmaniac\aSeLka\iNfecTeD 

4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд.

5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru.

Email имеет следующие характеристики:

  From: 
  sweetamy@bk.ru
  
  To: 
  sweetamy@bk.ru
  
  Subject: 
  -= iNfEcTeD hOsT [infected computer name] [infected user name] =-
  
  Message text:
  (various system information)