Backdoor.Win32.Small.fp

Backdoor.Win32.Small.fp («Лаборатория Касперского») также известен как: BackDoor-CQY (McAfee), Backdoor.Trojan (Symantec), BackDoor.Dcmbot (Doctor Web), BDS/Small.FP (H+BEDV), Backdoor.Dcmbot.A (SOFTWIN), Bck/DcmBot.A (Panda)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Представляет собой Windows PE-EXE файл. Имеет размер около 39 КБ.

Инсталляция

После запуска бэкдор копирует себя в следующий каталог с именем service.exe:

%System%\config\service.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Service Process"="%System%\config\service.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также бэкдор может создавать на компьютере следующие файлы:

  C:\client.txt
  C:\ClientSend.bin
  C:\ClientRecv.bin
  %System%\host.dll
  %System%\options.dll

Действия

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли и другую информацию.