Backdoor.Win32. Zomby.b

Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы

Программа удаленного администрирования, предоставляющая злоумышленнику возможность контроля над компьютером жертвы. Является приложением Windows (PE EXE-файл). Имеет размер 16896 байт. Ничем не упакована. Написана на Visual С++.

Инсталляция

При запуске данный троянец копирует себя в системный каталог Windows (%System%) под именем «Kernl32.exe».

Для автоматического запуска при каждом последующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"KRNL" = "Kernl32.exe"

Деструктивная активность

Троянская программа получает информацию об имени зараженного компьютера и свободном пространстве на дисках. Собранные данные в зашифрованном виде («<системное_время>.gif») отправляются по следующим адресам (с использованием соответствующих логинов и паролей):


    * www.chat.ru
    * ftp.geocities.com
    * upload.digiweb.com

Попытка соединения при этом осуществляется ежеминутно.

Также бэкдор открывает произвольный TCP-порт и ожидает команд от злоумышленника. Последнему это позволяет осуществлять такие действия, как:


    * получение системной информации;
    * доступ к активным соединениям и паролям пользователя;
    * загрузка/удаление файлов;
    * запуск программ на исполнение;
    * создание/удаление каталогов.

Другие названия

Backdoor.Win32.Zomby.b («Лаборатория Касперского») также известен как: Backdoor.Zomby.b («Лаборатория Касперского»), W32/Kernl (McAfee), W32.Ernl (Symantec), BackDoor.Zomby (Doctor Web), Troj/Kernl (Sophos), Backdoor:Win32/Zomby (RAV), TROJ_ZOMBY.B (Trend Micro), BDS/Zomby.B.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), BackDoor.Zomby (Grisoft), Backdoor.Zomby.B (SOFTWIN), Backdoor Program (Panda), Win32/Zomby.B (Eset)