Remote Shell 1.5 (Backdoor.Win32.Small.gs)

Иранский троян, написанный на Delphi.

Иранский троян, написанный на Delphi. Серверная часть состоит из 3-х файлов:

c:\WINDOWS\log.txt
c:\WINDOWS\system32\Backup Center.exe    Размером 31769 байт
c:\WINDOWS\system32\FormControl.cpl      Размером 22,528 байт


Для удаленного управления открывается 979 TCP порт.


Также создаются следующие ключи реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "InterBase"
data: C:\WINDOWS\System32\Backup Center.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SecurityCenter"
data: C:\WINDOWS\System32\Backup Center.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices "FuckIsrael"
data: C:\WINDOWS\System32\Backup Center.exe