Backdoor.Mepcod

Backdoor.Mepcod – это троянская программа, которая открывает бекдор и загружает файл, содержащий дополнительные команды.

При запуске Backdoor.Mepcod выполняет следующие действия:

1. Копирует себя как следующий файл:

  
  %Windir%\McAfeeScanPlus.exe. 

2. Просматривает следующий файл и открывает его вместе с mspaint.exe:

  %CurrentFolder%\me.bmp 

3. Создает следующий файл, в котором содержится информация используемая для регистрации учетной записи:

  
  %Windir%\winlogon9.log 

4. Добавляет значение:

  
  "McAfeeScanPlus" = %Windir%\McAfeeScanPlus.exe" 
  

в ключ реестра:

  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
  

5. Добавляет значение:

  "%Windir%\McAfeeScanPlus.exe" = "%Windir%\McAfeeScanPlus.exe:*:Enabled:McAfeeScanPlus" 

в подключ реестра:

  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 
  
  

6. Пытается загрузить файл с [http://]diji-realm.net/[REMOVED]/BN2005/LogMe.php

7. Пытается загрузить дополнительные команды с [http://]diji-realm.net/[REMOVED]/BN2005/binfo.txt.