Backdoor.Selka

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.

При запуске Backdoor.Selka выполняет следующие действия:

1.Копирует себя в %System%\WIN32SVC.EXE.

2.Создает сервис со следующими свойствами:

 
 Service Name: win32svc
 Display Name: Win32 service 

3.Создает следующие подключи реестра:

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32svc
 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WIN32SVC
 HKEY_LOCAL_MACHINE\Software\Netmaniac\aSeLka\iNfecTeD 

4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд.

5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru.

Email имеет следующие характеристики:

 From: 
 sweetamy@bk.ru
 
 To: 
 sweetamy@bk.ru
 
 Subject: 
 -= iNfEcTeD hOsT [infected computer name] [infected user name] =-
 
 Message text:
 (various system information) 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.