Backdoor.Win32.ForBot.r

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ.

Backdoor.Win32.ForBot.r («Лаборатория Касперского») также известен как: Win32.HLLW.ForBot (Doctor Web), WORM_FORBOT.R (Trend Micro), Worm/Salga.A (H+BEDV), Backdoor.Agobot.3.01E73044 (SOFTWIN), NewHeur_PE (Eset)

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ. После запуска бэкдор копирует себя в системный каталог Windows с именем "dllmanager.exe":

%System%\dllmanager.exe

Затем вирус регистрирует себя в ключах автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "NvCplScan"="dllmanager.exe" 

[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunOnce]
 "NvCplScan"="dllmanager.exe" 

[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices]
 "NvCplScan"="dllmanager.exe" 

[HKCU\Software\Microsoft\Windows\
CurrentVersion\Run]
 "NvCplScan"="dllmanager.exe"

[HKCU\Software\Microsoft\Windows\
CurrentVersion\RunOnce]
 "NvCplScan"="dllmanager.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows\CurrentVersion\Run]
 "NvCplScan"="dllmanager.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\
Windows\CurrentVersion\RunOnce]
 "NvCplScan"="dllmanager.exe" 

Бэкдор соединяется с IRC-сервером для приема команд.

После соединения с IRC-сервером троянская программа позволяет по команде "хозяина":

* сканировать другие компьютеры на наличие открытых сетевых ресурсов, а также уязвимости LSASS и устанавливать себя на уязвимые машины;

* загружать на зараженную машину любые файлы, запускать их, удалять;

* завершать различные процессы;

* извлекать CD-ключи;

* находить адреса электронной почты;

* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;

* осуществлять DoS атаки;

* устанавливать свои новые версии;

* получать информацию о компьютере или его владельце.