Trojan.Webus.D

Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме.

При запуске Trojan.Webus.D выполняет следующие действия:

1.Копирует себя в %System%\lsvchost.exe.

2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе.

3.Добавляет значения :

 ".mscdr"="%System%\lsvchost.exe" 

В ключи реестра:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом.

5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов :

   serv.gigaset.org 
   gimp.robobot.org 

Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.