Backdoor.Win32.Netso.a

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Backdoor.Win32.Netso.a («Лаборатория Касперского») также известен как: Backdoor.Netso.a («Лаборатория Касперского»), Generic BackDoor.d (McAfee), Backdoor.Trojan (Symantec), Troj/Delf-GU (Sophos), Backdoor:Win32/Delf.GU (RAV), BKDR_NETSO.A (Trend Micro), BackDoor.Delf.146 (Grisoft), Backdoor.Delf.GU (SOFTWIN), Backdoor Program (Panda), Win32/Netso.A (Eset)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Представляет собой Windows PE EXE-файл. Имеет размер около 207 КБ. Упакована UPX. Размер распакованного файла — около 551 KB.

После запуска бэкдор копирует себя в системный каталог Windows с именем winsock.exe:


%System%\winsock.exe

Затем вирус регистрирует себя в ключах автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "winsock"="%System%\winsock.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "winreg"="%System%\winsock.exe"

Бэкдор открывает на зараженной машине UDP порты 34031 и 34033 для предоставления злоумышленнику удаленного доступа к зараженной машине.

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы и получать информацию о системе или ее владельце.