Backdoor.Win32.Whisper.a

Троянская программа с встроенной функцией удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 20480 байт.

Инсталляция

После запуска бэкдор копирует себя в системный каталог Windows с именем rundll32.exe:

  %System%\rundll32.exe
  

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Windows DLL Loader"="%System%\rundll32.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Действия

Бэкдор соединяется с IRC-сервером для приема команд.

После соединения с IRC-сервером троянская программа позволяет получать команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, отправлять ее на удаленные сервера в интернете, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

Другие названия

Backdoor.Win32.Whisper.a («Лаборатория Касперского») также известен как: W32/Sdbot.worm.gen (McAfee), Backdoor.IRC.Whisper (Symantec), IRC_WHISPER.A (Trend Micro), BackDoor.Whisper.A (Grisoft), Win32.Bagle.4.Gen@mm (SOFTWIN), Trojan.IRCBot.gen-9 (ClamAV), Worm Generic.SD (Panda), NewHeur_PE (Eset)