Backdoor.Win32.XRat.j

Backdoor.Win32.XRat.j ( «Лаборатория Касперского») также известен как: BackDoor.Rat.22 ( Doctor Web), Backdoor.Agobot.3.2FDE0FCA ( SOFTWIN), NewHeur_PE ( Eset)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Представляет собой Windows PE-EXE файл. Имеет размер около 67 КБ. Упакована UPX.

Инсталляция

После запуска бекдор копирует себя в системный каталог Windows с именем "Rat.exe":

%System%\Rat.exe

Под Windows NT/2K/XP бекдор работает как сервис с именем "X-Rat", добавляя записи в следующий ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\X-Rat]

Действия

Бекдор открывает на зараженной машине произвольный TCP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.

Бекдор позволяет по команде "хозяина" загружать на заражённую машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, получать информацию о системе, в том числе пароли для некоторых компьютерных игр, перехваченный клавиатурный ввод пользователя и другую секретную информацию, перезагружать компьютер, запускать на зараженной машине прокси серверы и выполнять различные команды.