Backdoor.Win32.Netso.a

Backdoor.Win32.Netso.a («Лаборатория Касперского») также известен как: Backdoor.Netso.a («Лаборатория Касперского»), Generic BackDoor.d (McAfee), Backdoor.Trojan (Symantec), Troj/Delf-GU (Sophos), Backdoor:Win32/Delf.GU (RAV), BKDR_NETSO.A (Trend Micro), BackDoor.Delf.146 (Grisoft), Backdoor.Delf.GU (SOFTWIN), Backdoor Program (Panda), Win32/Netso.A (Eset)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Представляет собой Windows PE EXE-файл. Имеет размер около 207 КБ. Упакована UPX. Размер распакованного файла — около 551 KB.

После запуска бэкдор копирует себя в системный каталог Windows с именем winsock.exe:

  
  %System%\winsock.exe

Затем вирус регистрирует себя в ключах автозагрузки системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "winsock"="%System%\winsock.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "winreg"="%System%\winsock.exe"

Бэкдор открывает на зараженной машине UDP порты 34031 и 34033 для предоставления злоумышленнику удаленного доступа к зараженной машине.

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы и получать информацию о системе или ее владельце.