Программа написана на Delphi, упакована Aspack. Размер файла — 294076 байт.
name=doc1>Технические детали |
Программа написана на Delphi, упакована Aspack. Размер файла — 294076 байт.
Копирует себя в системную директорию под именем winreg.exe и notepod.exe.
Добавляет ссылку на этот файл в автозагрузку реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "LoadWindowsFile" = "<системная директория>\winreg.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "LoadWindowsFile" = "<системная директория>\winreg.exe"
Также изменяет параметры запуска исполняемых и текстовых файлов таким образом, что запуск любого exe-приложения и открытие любого txt-файла влечет за собой запуск данного троянца:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command] (Default) = "Notepod.exe "%1"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] (Default) = "<системная директория>\winreg.exe "%1" %*"
Открывает порт 8310 (UDP) и несколько случайных (TCP) и ожидает на них подключения «хозяина». Функционал имеющихся в распоряжении подключившегося злоумышленника команд достаточно широк — операции с файлами, форматирование диска, сбор нажатий клавиш и паролей и т.п.
Содержит строки на китайском языке.