Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.
Данный бекдор попадает на зараженный компьютер при помощи другого троянца — Trojan-Dropper.Ichitaro.Tarodrop.a , использующего уязвимость в Ichitaro Office Suite.
Инсталляция
После запуска бекдор создает и запускает на исполнение следующие файлы:
%System%\capapi32.dll %System%\netlib32.dll %System%\setups.bak
Последние два файла детектируются Антивирусом Касперского как Trojan-Spy.Win32.Delf.pv.
Деструктивная активность
Бекдор соединяется с удаленным сервером по порту 8080 для приема команд от злоумышленника.
Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, собирать различную системную информацию, загружать и запускать файлы, создавать и перемещать каталоги, выполнять различные команды, изменять ключи системного реестра, завершать активные процессы, делать и отсылать злоумышленнику снимки рабочего стола, завершать работу зараженного компьютера и другое...
Также бекдор создает незараженный документ Ichitaro с расширением JTD вместо файла троянца, с помощью которого был запущен данный бекдор.