Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байта. Написана на Delphi.
После запуска вредонос копирует свое тело в каталог Автозагрузка текущего пользователя, обеспечивая себе возможность автоматически запускаться при каждом следующем старте системы. Копия создается со случайным именем:
%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exeгде <rnd> – случайная последовательность цифр и латинских букв, к примеру: "ac5dt69pyzi".
Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" и внедряет в его адресное пространство исполняемый код, реализующий весь деструктивный функционал.
Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает несколько экземпляров системного процесса "SVCHOST.EXE" и внедряет в их адресное пространство код, реализующий функционал бэкдора, и выполняющий следующие действия:
В зависимости от полученных команд, бэкдор может выполнять следующие действия:
Ge***san.org e6***uf.in me***i38.com 123***ors.orgНа момент создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106560 байт;
MD5: 9F550CF8173CED2F375B15452886AE32,
SHA1: CD32190F5F09D7E7A514D5FED896C77AFDAC3866;
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%USERPROFILE%\Start Menu\Programs\Startup\<rnd>.exe
Но доступ к знаниям открыт для всех