Программа написана на Visual C++ 6.0, ничем не упакована. Размер файла 277504 байт.
Программа написана на Visual C++ 6.0, ничем не упакована. Размер файла 277504 байт.
Инсталляция
Копирует себя в системную директорию под именем winmonz32.exe.
Добавляет в реестр соответствующие записи для автозагрузки:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] "RunDLL32"="winmonz32.exe"
На NT-системах также создает сервис:
Logistics Manager Allows the multiplexing of tasks and processes supplied by COM components.
Создает в системной директории файл msdirect.sys (5760 байт), который детектируется как Rootkit.Win32.Agent.a и служит для сокрытия активности бэкдора от пользователя.
Помимо этого, программа размещает в системной директории несколько библиотек из пакета WinPcap, необходимых ей для работы, но не являющихся вредными:
* npf.sys — 32896 байт;
* packet.dll — 29696 байт;
* wanpacket.dll — 24064 байт;
* wpcap.dll — 91136 байт.
Действия
Подключается к серверу IRC и ожидает команд от автора-злоумышленника.
Перечень предусмотренных функций управления шире стандартного для IRC-backdoor'а и позволяет злоумышленнику не только управлять системой на уровне администратора, но и получить полный доступ к сетевой активности компьютера на низком уровне за счет использования бэкдором драйверов перехвата сетевых пакетов WinPcap.
Спойлер: мы раскрываем их любимые трюки