Backdoor.Rbot.gen

Backdoor.Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC.

Название: Backdoor.Rbot.gen

Описание: Backdoor.Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC. Обладают, в частности, следующей функциональностью:

  • мониторинг сети в поисках "интересных" пакетов (например, содержащих пароли к FTP-серверам, платёжной системе PayPal и т.п.);
  • сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (RPC DCOM, UPnP, WebDAV и др.); машин, заражённых троянскими программами (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven и др.) и троянскими компонентами червей (I-Worm.MyDoom, I-Worm.Bagle); а также машин со "слабыми" системными паролями;
  • проведение DoS-атак;
  • запуск на заражённой машине SOCKS- и HTTP-серверов;
  • отсылка злоумышелннику подробной информации о системе, в том числе паролей для некоторых компьютерных игр.
Прописывается в следующих ключах реестра:
 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\video multimedia driver
 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\win32 sound config
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\video multimedia driver
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\win32 sound config
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\microsoft it update32
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\microsoft update
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\video multimedia driver
 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\win32 sound config
 
Регистрирует b055262c.dll в системе.

Тело может состоять из следующих файлов:

 b055262c.dll
 backdoor.rbot.gen.exe
 backdoor.rbot.gen_(17).exe
 msssss.exe
 rasmngr.exe
 systemroot+\system32\dailin.exe
 systemroot+\system32\wowpos32.exe
 systemroot+\system32\wuamgrd.exe
 taskmanagr.exe
 wuamga.exe