Backdoor.Jupdate

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

Backdoor.Jupdate - это бэкдор, который позволяет удаленному атакующему загружать и выполнять файлы на зараженном компьютере.

При запуске Backdoor.Jupdate выполняет следующие действия:

1. Копирует себя в следующий файл, с произвольным названием, состоящим от четыркх до восьми символов в нихнем регистре:

    * %System%\[random name].exe
    * %System%\[random name].dat (text file) 

2. Добавляет значение:

"JavaUpdate0.07"="%system%\[dropped filename]"
в ключ реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.Пытается закрыть следующие процессы:

# ccapp.exe
# smc.exe
# zlclient.exe
# ZONEALARM.EXE
# WFINDV32.EXE
# WEBSCANX.EXE
# VSSTAT.EXE
# VSHWIN32.EXE
# VSECOMR.EXE
# VSCAN40.EXE
# VETTRAY.EXE
# VET95.EXE
# TDS2-NT.EXE
# TDS2-98.EXE
# TCA.EXE
# TBSCAN.EXE
# SWEEP95.EXE
# SPHINX.EXE
# SMC.EXE
# SERV95.EXE
# SCRSCAN.EXE
# SCANPM.EXE
# SCAN95.EXE
# SCAN32.EXE
# SAFEWEB.EXE
# RESCUE.EXE
# RAV7WIN.EXE
# RAV7.EXE
# PERSFW.EXE
# PCFWALLICON.EXE
# PCCWIN98.EXE
# PAVW.EXE
# PAVSCHED.EXE
# PAVCL.EXE
# PADMIN.EXE
# OUTPOST.EXE
# NVC95.EXE
# NUPGRADE.EXE
# NORMIST.EXE
# NMAIN.EXE
# NISUM.EXE
# NAVWNT.EXE
# NAVW32.EXE
# NAVNT.EXE
# NAVLU32.EXE
# NAVAPW32.EXE
# N32SCANW.EXE
# MPFTRAY.EXE
# MOOLIVE.EXE
# LUALL.EXE
# LOCKDOWN2000.EXE
# JEDI.EXE
# IOMON98.EXE
# IFACE.EXE
# ICSUPPNT.EXE
# ICSUPP95.EXE
# ICMON.EXE
# ICLOADNT.EXE
# ICLOAD95.EXE
# IBMAVSP.EXE
# IBMASN.EXE
# IAMSERV.EXE
# IAMAPP.EXE
# FRW.EXE
# FPROT.EXE
# FP-WIN.EXE
# FINDVIRU.EXE
# F-STOPW.EXE
# F-PROT95.EXE
# F-PROT.EXE
# F-AGNT95.EXE
# ESPWATCH.EXE
# ESAFE.EXE
# ECENGINE.EXE
# DVP95_0.EXE
# DVP95.EXE
# CLEANER3.EXE
# CLEANER.EXE
# CLAW95CF.EXE
# CLAW95.EXE
# CFINET32.EXE
# CFINET.EXE
# CFIAUDIT.EXE
# CFIADMIN.EXE
# BLACKICE.EXE
# BLACKD.EXE
# AVWUPD32.EXE
# AVWIN95.EXE
# AVSCHED32.EXE
# AVPUPD.EXE
# AVPTC32.EXE
# AVPM.EXE
# AVPDOS32.EXE
# AVPCC.EXE
# AVP.EXE
# AVNT.EXE
# AVKSERV.EXE
# AVGCTRL.EXE
# AVE32.EXE
# AVCONSOL.EXE
# AUTODOWN.EXE
# APVXDWIN.EXE
# ANTI-TROJAN.EXE
# ACKWIN32.EXE
# _AVPM.EXE
# _AVPCC.EXE
# AVP32.EXE 

4. Прослушивает произвольный TCP порт и ожидает команд от удаленного атакующего. Это позволяет атакующему скачивать и запускать файлы на зараженной машине.