Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Основной компонент представляет собой Windows PE-EXE файл. Имеет размер около 50 КБ. Упакован FSG. Размер распакованного файла около 205 КБ.
Бэкдор скрывает свое пребывание в системе.
Инсталляция
После запуска бэкдор создает следующие файлы в системном каталоге Windows:
%System%\avpx32.dll %System%\avpx32.sys %System%\avpx64.sys %System%\p3.ini %System%\qy.sys %System%\qz.dll %System%\qz.sys
Данные модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть в списке процессов при загруженной операционной системе.
Затем бэкдор создает следующий ключ и записи в системном реестре:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32] "DllName"="avpx32.dll" "Startup"="MmMapView3" "Impersonate"="1" "Asynchronous"="1" "MaxWait"="1"
При каждой следующей загрузке Windows автоматически запустит один из модулей троянца.
Действия
Бэкдор открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации, различных файлов и произведения других несанкционированных действий.
Бэкдор позволяет по команде «хозяина» просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, отсылать злоумышелннику подробную информацию о системе, в том числе пароли, вводимые с клавиатуры, и другую информацию.
Цифровые следы - ваша слабость, и хакеры это знают. Подпишитесь и узнайте, как их замести!