Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 5679 байт. Упакована UPX. Распакованный размер – около 11 КБ. Написана на C++.
После запуска бэкдор копирует свое тело в файл:
%System%\DKING!.exeДля автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ConsoleDevil" = "%System%\DKING!.exe"
После запуска бэкдор получает путь к исполняемому файлу браузера, установленного в системе по умолчанию, считывая значение ключа системного реестра:
[HKCR\http\shell\open\command]Затем процесс браузера запускается, и в его адресное пространство внедряется исполняемый код, реализующий описанный ниже функционал. При этом в случае возникновения ошибки, рассматриваемый вредоносный код будет внедрен в адресное пространство процесса "EXPLORER.EXE". Бэкдор устанавливает соединение с хостом:
"(Default)"
9203.***p.ccПри этом злоумышленнику отправляется имя зараженного компьютера и имя пользователя. Далее по команде злоумышленника бэкдор может выполнять следующие действия:
И мы тоже не спим, чтобы держать вас в курсе всех угроз