Backdoor.Win32.Sinit.f

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл.

Backdoor.Win32.Sinit.f («Лаборатория Касперского») также известен как: Backdoor.Sinit.f («Лаборатория Касперского»), BackDoor-BAM (McAfee), Backdoor.Sinit (Symantec), BackDoor.Sini (Doctor Web), Troj/Calyps-A (Sophos), Backdoor:Win32/Sinit (RAV), BKDR_SINIT.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Sinit.A (Grisoft), Backdoor.Sinit (SOFTWIN), Bck/Sinit.A (Panda), Win32/Sinit.A (Eset)

Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 59 КБ. Упакована UPX. Размер распакованного файла около 425 КБ.

При инсталляции троянец копирует себя в системный каталог Windows с именем svcinit.exe:


%System%\svcinit.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра.

В случае Windows NT, 2000, XP:


[HKLM\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon]
 "Userinit"="%System%\
userinit.exe,%System%\svcinit.exe"

В случае Windows 95, 98, ME:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices]
 "SVC Service"="%System%\svcinit.exe"

При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Бэкдор открывает произвольный UDP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бэкдор имеет возможность загружать на заражённую машину любые файлы, запускать их и удалять, завершать различные процессы и получать информацию с зараженного компьютера.