Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме.
При запуске Trojan.Webus.D выполняет следующие действия:
1.Копирует себя в %System%\lsvchost.exe.
2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе.
3.Добавляет значения :
".mscdr"="%System%\lsvchost.exe"В ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом.
5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов :
serv.gigaset.org gimp.robobot.org
Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.
Лечим цифровую неграмотность без побочных эффектов