Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.
При запуске Backdoor.Jupdate выполняет следующие действия:
1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре:
* %System%\[random name].exe * %System%\[random name].dat (text file)
2. Добавляет значение:
"JavaUpdate0.07"="%system%\[dropped filename]"в ключ реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.Пытается закрыть следующие процессы:
# ccapp.exe # smc.exe # zlclient.exe # ZONEALARM.EXE # WFINDV32.EXE # WEBSCANX.EXE # VSSTAT.EXE # VSHWIN32.EXE # VSECOMR.EXE # VSCAN40.EXE # VETTRAY.EXE # VET95.EXE # TDS2-NT.EXE # TDS2-98.EXE # TCA.EXE # TBSCAN.EXE # SWEEP95.EXE # SPHINX.EXE # SMC.EXE # SERV95.EXE # SCRSCAN.EXE # SCANPM.EXE # SCAN95.EXE # SCAN32.EXE # SAFEWEB.EXE # RESCUE.EXE # RAV7WIN.EXE # RAV7.EXE # PERSFW.EXE # PCFWALLICON.EXE # PCCWIN98.EXE # PAVW.EXE # PAVSCHED.EXE # PAVCL.EXE # PADMIN.EXE # OUTPOST.EXE # NVC95.EXE # NUPGRADE.EXE # NORMIST.EXE # NMAIN.EXE # NISUM.EXE # NAVWNT.EXE # NAVW32.EXE # NAVNT.EXE # NAVLU32.EXE # NAVAPW32.EXE # N32SCANW.EXE # MPFTRAY.EXE # MOOLIVE.EXE # LUALL.EXE # LOCKDOWN2000.EXE # JEDI.EXE # IOMON98.EXE # IFACE.EXE # ICSUPPNT.EXE # ICSUPP95.EXE # ICMON.EXE # ICLOADNT.EXE # ICLOAD95.EXE # IBMAVSP.EXE # IBMASN.EXE # IAMSERV.EXE # IAMAPP.EXE # FRW.EXE # FPROT.EXE # FP-WIN.EXE # FINDVIRU.EXE # F-STOPW.EXE # F-PROT95.EXE # F-PROT.EXE # F-AGNT95.EXE # ESPWATCH.EXE # ESAFE.EXE # ECENGINE.EXE # DVP95_0.EXE # DVP95.EXE # CLEANER3.EXE # CLEANER.EXE # CLAW95CF.EXE # CLAW95.EXE # CFINET32.EXE # CFINET.EXE # CFIAUDIT.EXE # CFIADMIN.EXE # BLACKICE.EXE # BLACKD.EXE # AVWUPD32.EXE # AVWIN95.EXE # AVSCHED32.EXE # AVPUPD.EXE # AVPTC32.EXE # AVPM.EXE # AVPDOS32.EXE # AVPCC.EXE # AVP.EXE # AVNT.EXE # AVKSERV.EXE # AVGCTRL.EXE # AVE32.EXE # AVCONSOL.EXE # AUTODOWN.EXE # APVXDWIN.EXE # ANTI-TROJAN.EXE # ACKWIN32.EXE # _AVPM.EXE # _AVPCC.EXE # AVP32.EXE
4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.
Собираем и анализируем опыт профессионалов ИБ