Backdoor.Akak

Backdoor.Akak – бекдор сервер, который создает SOCKS проси на скомпрометированной системе. Бекдор распространяется через Web сайты, используя Microsoft Internet Explorer Drag And Drop уязвимость.

Backdoor.Akak – бекдор сервер, который создает SOCKS проси на скомпрометированной системе. Бекдор распространяется через Web сайты, используя Microsoft Internet Explorer Drag And Drop уязвимость.

При запуске Backdoor.Akak загружает Testexe.exe или Rb.exe в Windows Startup директорию. При запуске Windows выполняются следующие действия:

    Выполняет загружаемый файл.
  1. Регистрирует себя как сервис.
  2. Копирует себя в %System%\rb.exe.
  3. Создает значение "RamBooster2"="%System%\rb.exe " в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  4. Выполняет команду "net stop SharedAccess", чтобы отключить Windows Internet Connection Firewall (ICF).
  5. Подключается к мастер серверу 202.104.242.156 на 4321 tcp порту и загружает информацию, которая сохраняется в файле %System%\lhosts.txt.
  6. Если бекдор не может создать lhosts.txt файл, он сохраняет информацию в файле Kaka2.txt, который создается в текущей рабочей папке.
  7. Создает SOCKS прокси на 5555 TCP порту.
  8. Слушает на 4321 порту для удаленных команд. Атакующий может получить информацию о системе, загрузить и выполнить произвольные файлы, удалить бекдор или обновить адрес мастер сервера.