Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ.
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ. После запуска бэкдор копирует себя в системный каталог Windows с именем "dllmanager.exe":
%System%\dllmanager.exe
Затем вирус регистрирует себя в ключах автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "NvCplScan"="dllmanager.exe" [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunOnce] "NvCplScan"="dllmanager.exe" [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] "NvCplScan"="dllmanager.exe" [HKCU\Software\Microsoft\Windows\ CurrentVersion\Run] "NvCplScan"="dllmanager.exe" [HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnce] "NvCplScan"="dllmanager.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Run] "NvCplScan"="dllmanager.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\ Windows\CurrentVersion\RunOnce] "NvCplScan"="dllmanager.exe"
Бэкдор соединяется с IRC-сервером для приема команд.
После соединения с IRC-сервером троянская программа позволяет по команде "хозяина":
* сканировать другие компьютеры на наличие открытых сетевых ресурсов, а также уязвимости LSASS и устанавливать себя на уязвимые машины;
* загружать на зараженную машину любые файлы, запускать их, удалять;
* завершать различные процессы;
* извлекать CD-ключи;
* находить адреса электронной почты;
* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;
* осуществлять DoS атаки;
* устанавливать свои новые версии;
* получать информацию о компьютере или его владельце.
Спойлер: мы раскрываем их любимые трюки