Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Инсталляция
Бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%\PiaO.exe
Также извлекает из своего тела следующую библиотеку:
%System%\PiaO.dll
Библиотека имеет размер 135168 байт и детектируется Антивирусом Касперского как Backdoor.Win32.Delf.ash.
Для автоматического запуска при каждом последующем старте системы бэкдор создает службу с именем «PiaO»; при этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\PiaO]
После инсталляции бэкдор удаляет оригинальный запускаемый файл.
Деструктивная активность
Бэкдор запускает копию процесса «iexplore.exe» и подгружает в него извлеченную библиотеку, которая скачивает с сайта злоумышленника скрипт, определяющий дальнейшие действия вредоносной программы:
* загрузка файла по указанному URL с последующим запуском;
* передача на сайт злоумышленника информации о системе пользователя (версии Windows и IE);
* слежение за посещаемыми пользователем интернет-сайтами и отправка отчета на сайт злоумышленника.
На перекрестке науки и фантазии — наш канал