Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.
При запуске Backdoor.Selka выполняет следующие действия:
1.Копирует себя в %System%\WIN32SVC.EXE.
2.Создает сервис со следующими свойствами:
Service Name: win32svc Display Name: Win32 service
3.Создает следующие подключи реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32svc HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WIN32SVC HKEY_LOCAL_MACHINE\Software\Netmaniac\aSeLka\iNfecTeD
4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд.
5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru.
Email имеет следующие характеристики:
From: sweetamy@bk.ru To: sweetamy@bk.ru Subject: -= iNfEcTeD hOsT [infected computer name] [infected user name] =- Message text: (various system information)
И мы тоже не спим, чтобы держать вас в курсе всех угроз