Backdoor.Win32. Delf.akw

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 245760 байт. Написана на Delphi.

Инсталляция

При запуске троянец создает в системном каталоге Windows («%System%)» файл под именем «service.exe» (размер — 182941 байт) и запускает его на выполнение со следующими ключами:

service.exe /install /silence

Бэкдор добавляет службу c именем «r_server» в системный реестр:

[HKLM\Software\CurrentControlSet\Services\r_server]
"Start" = "dword:0x00000002"
"ImagePath" = "%System%\service.exe /service"
"DisplayName" = "Remote Administrator Service"

При последующем запуске системы троянский сервис запускается автоматически.

Деструктивная активность

После инсталляции троянец запускается с указанием «прослушиваемого» порта и паролем доступа:

service.exe /pass:SXX13CVV2 /port:4899 /save /silence

Бэкдор предоставляет доступ к удаленному компьютеру через Telnet-протокол. Имеет возможность обеспечения доступа к файлам на компьютере пользователя, а также удаленного управления системой.