Backdoor.Win32.XRat.j

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Представляет собой Windows PE-EXE файл. Имеет размер около 67 КБ. Упакована UPX.

Backdoor.Win32.XRat.j («Лаборатория Касперского») также известен как: BackDoor.Rat.22 (Doctor Web), Backdoor.Agobot.3.2FDE0FCA (SOFTWIN), NewHeur_PE (Eset)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Представляет собой Windows PE-EXE файл. Имеет размер около 67 КБ. Упакована UPX.

Инсталляция

После запуска бекдор копирует себя в системный каталог Windows с именем "Rat.exe":

%System%\Rat.exe

Под Windows NT/2K/XP бекдор работает как сервис с именем "X-Rat", добавляя записи в следующий ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\X-Rat]

Действия

Бекдор открывает на зараженной машине произвольный TCP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бекдор позволяет по команде "хозяина" загружать на заражённую машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, получать информацию о системе, в том числе пароли для некоторых компьютерных игр, перехваченный клавиатурный ввод пользователя и другую секретную информацию, перезагружать компьютер, запускать на зараженной машине прокси серверы и выполнять различные команды.