Backdoor.Rbot.gen

Backdoor.Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC.

Название: Backdoor.Rbot.gen

Описание: Backdoor.Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC. Обладают, в частности, следующей функциональностью:

  • мониторинг сети в поисках "интересных" пакетов (например, содержащих пароли к FTP-серверам, платёжной системе PayPal и т.п.);
  • сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (RPC DCOM, UPnP, WebDAV и др.); машин, заражённых троянскими программами (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven и др.) и троянскими компонентами червей (I-Worm.MyDoom, I-Worm.Bagle); а также машин со "слабыми" системными паролями;
  • проведение DoS-атак;
  • запуск на заражённой машине SOCKS- и HTTP-серверов;
  • отсылка злоумышелннику подробной информации о системе, в том числе паролей для некоторых компьютерных игр.
Прописывается в следующих ключах реестра:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\video multimedia driver
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\win32 sound config
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\video multimedia driver
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\win32 sound config
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\microsoft it update32
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\microsoft update
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\video multimedia driver
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\win32 sound config
Регистрирует b055262c.dll в системе.

Тело может состоять из следующих файлов:

b055262c.dll
backdoor.rbot.gen.exe
backdoor.rbot.gen_(17).exe
msssss.exe
rasmngr.exe
systemroot+\system32\dailin.exe
systemroot+\system32\wowpos32.exe
systemroot+\system32\wuamgrd.exe
taskmanagr.exe
wuamga.exe