Security Lab

Backdoor.Jupdate

Backdoor.Jupdate

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

При запуске Backdoor.Jupdate выполняет следующие действия:

1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре:

      * %System%\[random name].exe
      * %System%\[random name].dat (text file) 

2. Добавляет значение:

  "JavaUpdate0.07"="%system%\[dropped filename]"
в ключ реестра:
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.Пытается закрыть следующие процессы:

  # ccapp.exe
  # smc.exe
  # zlclient.exe
  # ZONEALARM.EXE
  # WFINDV32.EXE
  # WEBSCANX.EXE
  # VSSTAT.EXE
  # VSHWIN32.EXE
  # VSECOMR.EXE
  # VSCAN40.EXE
  # VETTRAY.EXE
  # VET95.EXE
  # TDS2-NT.EXE
  # TDS2-98.EXE
  # TCA.EXE
  # TBSCAN.EXE
  # SWEEP95.EXE
  # SPHINX.EXE
  # SMC.EXE
  # SERV95.EXE
  # SCRSCAN.EXE
  # SCANPM.EXE
  # SCAN95.EXE
  # SCAN32.EXE
  # SAFEWEB.EXE
  # RESCUE.EXE
  # RAV7WIN.EXE
  # RAV7.EXE
  # PERSFW.EXE
  # PCFWALLICON.EXE
  # PCCWIN98.EXE
  # PAVW.EXE
  # PAVSCHED.EXE
  # PAVCL.EXE
  # PADMIN.EXE
  # OUTPOST.EXE
  # NVC95.EXE
  # NUPGRADE.EXE
  # NORMIST.EXE
  # NMAIN.EXE
  # NISUM.EXE
  # NAVWNT.EXE
  # NAVW32.EXE
  # NAVNT.EXE
  # NAVLU32.EXE
  # NAVAPW32.EXE
  # N32SCANW.EXE
  # MPFTRAY.EXE
  # MOOLIVE.EXE
  # LUALL.EXE
  # LOCKDOWN2000.EXE
  # JEDI.EXE
  # IOMON98.EXE
  # IFACE.EXE
  # ICSUPPNT.EXE
  # ICSUPP95.EXE
  # ICMON.EXE
  # ICLOADNT.EXE
  # ICLOAD95.EXE
  # IBMAVSP.EXE
  # IBMASN.EXE
  # IAMSERV.EXE
  # IAMAPP.EXE
  # FRW.EXE
  # FPROT.EXE
  # FP-WIN.EXE
  # FINDVIRU.EXE
  # F-STOPW.EXE
  # F-PROT95.EXE
  # F-PROT.EXE
  # F-AGNT95.EXE
  # ESPWATCH.EXE
  # ESAFE.EXE
  # ECENGINE.EXE
  # DVP95_0.EXE
  # DVP95.EXE
  # CLEANER3.EXE
  # CLEANER.EXE
  # CLAW95CF.EXE
  # CLAW95.EXE
  # CFINET32.EXE
  # CFINET.EXE
  # CFIAUDIT.EXE
  # CFIADMIN.EXE
  # BLACKICE.EXE
  # BLACKD.EXE
  # AVWUPD32.EXE
  # AVWIN95.EXE
  # AVSCHED32.EXE
  # AVPUPD.EXE
  # AVPTC32.EXE
  # AVPM.EXE
  # AVPDOS32.EXE
  # AVPCC.EXE
  # AVP.EXE
  # AVNT.EXE
  # AVKSERV.EXE
  # AVGCTRL.EXE
  # AVE32.EXE
  # AVCONSOL.EXE
  # AUTODOWN.EXE
  # APVXDWIN.EXE
  # ANTI-TROJAN.EXE
  # ACKWIN32.EXE
  # _AVPM.EXE
  # _AVPCC.EXE
  # AVP32.EXE 

4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!