Backdoor. Win32.Small.mg

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 5679 байт. Упакована UPX. Распакованный размер – около 11 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл:

%System%\DKING!.exe
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ConsoleDevil" = "%System%\DKING!.exe"

Деструктивная активность

После запуска бэкдор получает путь к исполняемому файлу браузера, установленного в системе по умолчанию, считывая значение ключа системного реестра:

[HKCR\http\shell\open\command]
"(Default)"
Затем процесс браузера запускается, и в его адресное пространство внедряется исполняемый код, реализующий описанный ниже функционал. При этом в случае возникновения ошибки, рассматриваемый вредоносный код будет внедрен в адресное пространство процесса "EXPLORER.EXE". Бэкдор устанавливает соединение с хостом:
9203.***p.cc
При этом злоумышленнику отправляется имя зараженного компьютера и имя пользователя. Далее по команде злоумышленника бэкдор может выполнять следующие действия:
  • запускать на зараженном компьютере удаленный командный терминал;
  • загружать на зараженный компьютер файлы;
  • запускать и завершать процессы.