Backdoor.Win32. Papi.a

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.

Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Представляет собой Windows PE EXE-файл.

Данный бекдор попадает на зараженный компьютер при помощи другого троянца — Trojan-Dropper.Ichitaro.Tarodrop.a, использующего уязвимость в Ichitaro Office Suite.

Инсталляция

После запуска бекдор создает и запускает на исполнение следующие файлы:

%System%\capapi32.dll
%System%\netlib32.dll
%System%\setups.bak

Последние два файла детектируются Антивирусом Касперского как Trojan-Spy.Win32.Delf.pv.

Деструктивная активность

Бекдор соединяется с удаленным сервером по порту 8080 для приема команд от злоумышленника.

Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, выполнять различные команды, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое...

Также бекдор создает незараженный документ Ichitaro с расширением JTD вместо файла троянца, с помощью которого был запущен данный бекдор.