Backdoor.Win32.ForBot.r

Backdoor.Win32.ForBot.r ( «Лаборатория Касперского» ) также известен как: Win32.HLLW.ForBot ( Doctor Web ), WORM_FORBOT.R ( Trend Micro ), Worm/Salga.A ( H+BEDV ), Backdoor.Agobot.3.01E73044 ( SOFTWIN ), NewHeur_PE ( Eset )

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ. После запуска бэкдор копирует себя в системный каталог Windows с именем "dllmanager.exe":

%System%\dllmanager.exe

Затем вирус регистрирует себя в ключах автозагрузки системного реестра:

  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "NvCplScan"="dllmanager.exe" 
  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunOnce]
   "NvCplScan"="dllmanager.exe" 
  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices]
   "NvCplScan"="dllmanager.exe" 
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "NvCplScan"="dllmanager.exe"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\RunOnce]
   "NvCplScan"="dllmanager.exe"
  
  [HKEY_USERS\.DEFAULT\Software\Microsoft\
  Windows\CurrentVersion\Run]
   "NvCplScan"="dllmanager.exe"
  
  [HKEY_USERS\.DEFAULT\Software\Microsoft\
  Windows\CurrentVersion\RunOnce]
   "NvCplScan"="dllmanager.exe" 

Бэкдор соединяется с IRC-сервером для приема команд.

После соединения с IRC-сервером троянская программа позволяет по команде "хозяина":

* сканировать другие компьютеры на наличие открытых сетевых ресурсов, а также уязвимости LSASS и устанавливать себя на уязвимые машины;

* загружать на зараженную машину любые файлы, запускать их, удалять;

* завершать различные процессы;

* извлекать CD-ключи;

* находить адреса электронной почты;

* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;

* осуществлять DoS атаки;

* устанавливать свои новые версии;

* получать информацию о компьютере или его владельце.