Backdoor.Win32.Small.eo

Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec), BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft), Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и имеет длинну около 7КБ.

Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские) программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети.

Регистрируется в системе как сервис:

Service name:

hwclock

Display Name:

Hardware Clock Driver

Service Description:

Enables a computer to save and restore system time information using the hardware clock. Stopping or disabling this service will result in system instability.

Создает ключи реестра:

  
  
  [HKLM\software\microsoft\ole]
  
   "enabledcom"="n"
  
  [HKLM\system\currentcontrolset\control\lsa]
   "restrictanonymous"="1" 

Содержит строки:

symantec.loves.the.cock.pheer.biz

owjgp.game2max.net