Backdoor.Selka

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.

Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер.

При запуске Backdoor.Selka выполняет следующие действия:

1.Копирует себя в %System%\WIN32SVC.EXE.

2.Создает сервис со следующими свойствами:

 
Service Name: win32svc
Display Name: Win32 service 

3.Создает следующие подключи реестра:

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32svc
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WIN32SVC
HKEY_LOCAL_MACHINE\Software\Netmaniac\aSeLka\iNfecTeD 

4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд.

5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru.

Email имеет следующие характеристики:

From: 
sweetamy@bk.ru

To: 
sweetamy@bk.ru

Subject: 
-= iNfEcTeD hOsT [infected computer name] [infected user name] =-

Message text:
(various system information)