Backdoor.Win32.Small.fp

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине.

Backdoor.Win32.Small.fp («Лаборатория Касперского») также известен как: BackDoor-CQY (McAfee), Backdoor.Trojan (Symantec), BackDoor.Dcmbot (Doctor Web), BDS/Small.FP (H+BEDV), Backdoor.Dcmbot.A (SOFTWIN), Bck/DcmBot.A (Panda)

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Представляет собой Windows PE-EXE файл. Имеет размер около 39 КБ.

Инсталляция

После запуска бэкдор копирует себя в следующий каталог с именем service.exe:

%System%\config\service.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Service Process"="%System%\config\service.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также бэкдор может создавать на компьютере следующие файлы:

 C:\client.txt
 C:\ClientSend.bin
 C:\ClientRecv.bin
 %System%\host.dll
 %System%\options.dll

Действия

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли и другую информацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.