Backdoor.Akak

Backdoor.Akak – бекдор сервер, который создает SOCKS проси на скомпрометированной системе. Бекдор распространяется через Web сайты, используя Microsoft Internet Explorer Drag And Drop уязвимость.

При запуске Backdoor.Akak загружает Testexe.exe или Rb.exe в Windows Startup директорию. При запуске Windows выполняются следующие действия:

Выполняет загружаемый файл.
1. Регистрирует себя как сервис.
2. Копирует себя в %System%\rb.exe.
3. Создает значение "RamBooster2"="%System%\rb.exe " в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. Выполняет команду "net stop SharedAccess", чтобы отключить Windows Internet Connection Firewall (ICF).
5. Подключается к мастер серверу 202.104.242.156 на 4321 tcp порту и загружает информацию, которая сохраняется в файле %System%\lhosts.txt.
6. Если бекдор не может создать lhosts.txt файл, он сохраняет информацию в файле Kaka2.txt, который создается в текущей рабочей папке.
7. Создает SOCKS прокси на 5555 TCP порту.
8. Слушает на 4321 порту для удаленных команд. Атакующий может получить информацию о системе, загрузить и выполнить произвольные файлы, удалить бекдор или обновить адрес мастер сервера.