Backdoor.Win32. Jewdo.a

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 14848 байт. Написана на C.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%Windir%\smss.exe

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
name="doc3">

Деструктивная активность

Осуществляет HTTP-запрос к следующему веб-ресурсу:

http: //ipi***db.com/ip_query_country.php?output=json

В ответ приходит информация о коде страны, которая используется в последующем запросе к серверу управления. После формирует запрос следующего вида, регистрирующий бота на сервере управления: В ответ от сервера приходит 16-ричное значение, который бот сохраняет в файле %Windir%\smss.exe.tmp и при последующем запросе к серверу управления за командой передает его в своем поле Cookie HTTP заголовка в параметре uniqueid.

Запрос за командой:

http: //czic***wer.com/ddos/?p=BotPoke

В ответе от сервера возможны следующие команды:

base.idle - установить признак DDoS/не DDoS
base.frequency - установить временной интервал сетевых запросов 
к серверу управления spread.enable - на момент создания описания никак не
 обрабатывается
spread.disable - на момент создания описания никак не обрабатывается
base.download - скачать файл с заданной ссылки
base.download_execute - скачать файл с заданной ссылки и запустить
ddos.tcp - DDoS заданного хоста syn-флудом
ddos.http- DDoS заданного хоста http-флудом
ddos.udp - DDoS заданного хоста udp-флудом
base.visit - открыть данную ссылку браузером по умолчанию
base.change_url - поменять сервер управления
base.uninstall - установить в ключ реестра [HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]"Windows Media Center" = "bye"
base.exit - завершение процесса