Backdoor.Win32. Vipdataend.ij

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 435712 байт.

Инсталляция

Бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\PiaO.exe

Также извлекает из своего тела следующую библиотеку:

%System%\PiaO.dll

Библиотека имеет размер 135168 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Delf.ash.

Для автоматического запуска при каждом последующем старте системы бэкдор создает службу с именем «PiaO»; при этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\PiaO]

После инсталляции бэкдор удаляет оригинальный запускаемый файл.

Деструктивная активность

Бэкдор запускает копию процесса «iexplore.exe» и подгружает в него извлеченную библиотеку, которая скачивает с сайта злоумышленника скрипт, определяющий дальнейшие действия вредоносной программы:

* загрузка файла по указанному URL с последующим запуском;

* передача на сайт злоумышленника информации о системе пользователя (версии Windows и IE);

* слежение за посещаемыми пользователем интернет-сайтами и отправка отчета на сайт злоумышленника.