Backdoor.Jupdate

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

При запуске Backdoor.Jupdate выполняет следующие действия:

1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре:

     * %System%\[random name].exe
     * %System%\[random name].dat (text file) 

2. Добавляет значение:

 "JavaUpdate0.07"="%system%\[dropped filename]"
в ключ реестра:
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.Пытается закрыть следующие процессы:

 # ccapp.exe
 # smc.exe
 # zlclient.exe
 # ZONEALARM.EXE
 # WFINDV32.EXE
 # WEBSCANX.EXE
 # VSSTAT.EXE
 # VSHWIN32.EXE
 # VSECOMR.EXE
 # VSCAN40.EXE
 # VETTRAY.EXE
 # VET95.EXE
 # TDS2-NT.EXE
 # TDS2-98.EXE
 # TCA.EXE
 # TBSCAN.EXE
 # SWEEP95.EXE
 # SPHINX.EXE
 # SMC.EXE
 # SERV95.EXE
 # SCRSCAN.EXE
 # SCANPM.EXE
 # SCAN95.EXE
 # SCAN32.EXE
 # SAFEWEB.EXE
 # RESCUE.EXE
 # RAV7WIN.EXE
 # RAV7.EXE
 # PERSFW.EXE
 # PCFWALLICON.EXE
 # PCCWIN98.EXE
 # PAVW.EXE
 # PAVSCHED.EXE
 # PAVCL.EXE
 # PADMIN.EXE
 # OUTPOST.EXE
 # NVC95.EXE
 # NUPGRADE.EXE
 # NORMIST.EXE
 # NMAIN.EXE
 # NISUM.EXE
 # NAVWNT.EXE
 # NAVW32.EXE
 # NAVNT.EXE
 # NAVLU32.EXE
 # NAVAPW32.EXE
 # N32SCANW.EXE
 # MPFTRAY.EXE
 # MOOLIVE.EXE
 # LUALL.EXE
 # LOCKDOWN2000.EXE
 # JEDI.EXE
 # IOMON98.EXE
 # IFACE.EXE
 # ICSUPPNT.EXE
 # ICSUPP95.EXE
 # ICMON.EXE
 # ICLOADNT.EXE
 # ICLOAD95.EXE
 # IBMAVSP.EXE
 # IBMASN.EXE
 # IAMSERV.EXE
 # IAMAPP.EXE
 # FRW.EXE
 # FPROT.EXE
 # FP-WIN.EXE
 # FINDVIRU.EXE
 # F-STOPW.EXE
 # F-PROT95.EXE
 # F-PROT.EXE
 # F-AGNT95.EXE
 # ESPWATCH.EXE
 # ESAFE.EXE
 # ECENGINE.EXE
 # DVP95_0.EXE
 # DVP95.EXE
 # CLEANER3.EXE
 # CLEANER.EXE
 # CLAW95CF.EXE
 # CLAW95.EXE
 # CFINET32.EXE
 # CFINET.EXE
 # CFIAUDIT.EXE
 # CFIADMIN.EXE
 # BLACKICE.EXE
 # BLACKD.EXE
 # AVWUPD32.EXE
 # AVWIN95.EXE
 # AVSCHED32.EXE
 # AVPUPD.EXE
 # AVPTC32.EXE
 # AVPM.EXE
 # AVPDOS32.EXE
 # AVPCC.EXE
 # AVP.EXE
 # AVNT.EXE
 # AVKSERV.EXE
 # AVGCTRL.EXE
 # AVE32.EXE
 # AVCONSOL.EXE
 # AUTODOWN.EXE
 # APVXDWIN.EXE
 # ANTI-TROJAN.EXE
 # ACKWIN32.EXE
 # _AVPM.EXE
 # _AVPCC.EXE
 # AVP32.EXE 

4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.