Backdoor.Win32.ForBot.t

Программа написана на Visual C++ 6.0, ничем не упакована. Размер файла 277504 байт.

Backdoor.Win32.ForBot.t («Лаборатория Касперского») также известен как: Win32.HLLW.ForBot.based (Doctor Web), Worm/ForBot.277504 (H+BEDV)

Программа написана на Visual C++ 6.0, ничем не упакована. Размер файла 277504 байт.

Инсталляция

Копирует себя в системную директорию под именем winmonz32.exe.

Добавляет в реестр соответствующие записи для автозагрузки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
 "RunDLL32"="winmonz32.exe"

На NT-системах также создает сервис:


Logistics Manager
Allows the multiplexing of tasks and 
processes supplied by COM components.

Создает в системной директории файл msdirect.sys (5760 байт), который детектируется как Rootkit.Win32.Agent.a и служит для сокрытия активности бэкдора от пользователя.

Помимо этого, программа размещает в системной директории несколько библиотек из пакета WinPcap, необходимых ей для работы, но не являющихся вредными:

* npf.sys — 32896 байт;

* packet.dll — 29696 байт;

* wanpacket.dll — 24064 байт;

* wpcap.dll — 91136 байт.

Действия

Подключается к серверу IRC и ожидает команд от автора-злоумышленника.

Перечень предусмотренных функций управления шире стандартного для IRC-backdoor'а и позволяет злоумышленнику не только управлять системой на уровне администратора, но и получить полный доступ к сетевой активности компьютера на низком уровне за счет использования бэкдором драйверов перехвата сетевых пакетов WinPcap.