Backdoor.Win32.Sinit.f

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл.

Backdoor.Win32.Sinit.f («Лаборатория Касперского») также известен как: Backdoor.Sinit.f («Лаборатория Касперского»), BackDoor-BAM (McAfee), Backdoor.Sinit (Symantec), BackDoor.Sini (Doctor Web), Troj/Calyps-A (Sophos), Backdoor:Win32/Sinit (RAV), BKDR_SINIT.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Sinit.A (Grisoft), Backdoor.Sinit (SOFTWIN), Bck/Sinit.A (Panda), Win32/Sinit.A (Eset)

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 59 КБ. Упакована UPX. Размер распакованного файла около 425 КБ.

При инсталляции троянец копирует себя в системный каталог Windows с именем svcinit.exe:

 
 %System%\svcinit.exe
 

Затем регистрирует этот файл в ключе автозапуска системного реестра.

В случае Windows NT, 2000, XP:

 
 [HKLM\Software\Microsoft\Windows NT\
 CurrentVersion\Winlogon]
  "Userinit"="%System%\
 userinit.exe,%System%\svcinit.exe"
 

В случае Windows 95, 98, ME:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\RunServices]
  "SVC Service"="%System%\svcinit.exe"

При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Бэкдор открывает произвольный UDP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бэкдор имеет возможность загружать на заражённую машину любые файлы, запускать их и удалять, завершать различные процессы и получать информацию с зараженного компьютера.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.