Backdoor.Win32.Small.fp

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине.

Backdoor.Win32.Small.fp («Лаборатория Касперского») также известен как: BackDoor-CQY (McAfee), Backdoor.Trojan (Symantec), BackDoor.Dcmbot (Doctor Web), BDS/Small.FP (H+BEDV), Backdoor.Dcmbot.A (SOFTWIN), Bck/DcmBot.A (Panda)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Представляет собой Windows PE-EXE файл. Имеет размер около 39 КБ.

Инсталляция

После запуска бэкдор копирует себя в следующий каталог с именем service.exe:

%System%\config\service.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Service Process"="%System%\config\service.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также бэкдор может создавать на компьютере следующие файлы:

C:\client.txt
C:\ClientSend.bin
C:\ClientRecv.bin
%System%\host.dll
%System%\options.dll

Действия

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли и другую информацию.