Security Lab

Backdoor.Win32. Delf.akw

Backdoor.Win32. Delf.akw

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.

Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе. Является приложением Windows (PE EXE-файл). Имеет размер 245760 байт. Написана на Delphi.

Инсталляция

При запуске троянец создает в системном каталоге Windows («%System%)» файл под именем «service.exe» (размер — 182941 байт) и запускает его на выполнение со следующими ключами:

  service.exe /install /silence

Бэкдор добавляет службу c именем «r_server» в системный реестр:

  [HKLM\Software\CurrentControlSet\Services\r_server]
  "Start" = "dword:0x00000002"
  "ImagePath" = "%System%\service.exe /service"
  "DisplayName" = "Remote Administrator Service"

При последующем запуске системы троянский сервис запускается автоматически.

Деструктивная активность

После инсталляции троянец запускается с указанием «прослушиваемого» порта и паролем доступа:

  service.exe /pass:SXX13CVV2 /port:4899 /save /silence

Бэкдор предоставляет доступ к удаленному компьютеру через Telnet-протокол. Имеет возможность обеспечения доступа к файлам на компьютере пользователя, а также удаленного управления системой.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться