Backdoor.Mepcod

Backdoor.Mepcod – это троянская программа, которая открывает бекдор и загружает файл, содержащий дополнительные команды.

Backdoor.Mepcod – это троянская программа, которая открывает бекдор и загружает файл, содержащий дополнительные команды.

При запуске Backdoor.Mepcod выполняет следующие действия:

1. Копирует себя как следующий файл:

 
 %Windir%\McAfeeScanPlus.exe. 

2. Просматривает следующий файл и открывает его вместе с mspaint.exe:

 %CurrentFolder%\me.bmp 

3. Создает следующий файл, в котором содержится информация используемая для регистрации учетной записи:

 
 %Windir%\winlogon9.log 

4. Добавляет значение:

 
 "McAfeeScanPlus" = %Windir%\McAfeeScanPlus.exe" 
 

в ключ реестра:

 
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
 

5. Добавляет значение:

 "%Windir%\McAfeeScanPlus.exe" = "%Windir%\McAfeeScanPlus.exe:*:Enabled:McAfeeScanPlus" 

в подключ реестра:

 
 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
 Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 
 
 

6. Пытается загрузить файл с [http://]diji-realm.net/[REMOVED]/BN2005/LogMe.php

7. Пытается загрузить дополнительные команды с [http://]diji-realm.net/[REMOVED]/BN2005/binfo.txt.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.