Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Инсталляция
После запуска бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%\mssrv32.exe
После чего бэкдор создает службу с именем "Microsoft security update service", которая автоматически запускает исполняемый файл бэкдора при каждой последующей загрузке системы. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
Деструктивная активность
При запуске бэкдор внедряет в процесс "svchost.exe" свой код, который выполняет следующие действия:
Регистрируется на сайте злоумышленников, открывая следующий URL:
http://84.252.***.***/_rus/stat.php
И получает адрес хоста в интернете, на который будут производиться DDOS атаки. Атаки могут быть следующих типов:
* SYN Flood * ICMP Flood * UDP Flood
На перекрестке науки и фантазии — наш канал