Троянская программа, позволяющая злоумышленнику удаленно выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.
Программа является динамической библиотекой Windows (PE DLL-файл). Написана на Visual C++. Размер файла — 43520 байт, ничем не упакован.
Бэкдор инсталлируется в систему при помощи другой вредоносной программы.
Деструктивная активность
Бэкдор пытается запустить следующие файлы:
%system%\nstask32.exe %system%\tftp.exe
Предполагается, что они уже были загружены из сети при помощи другой вредоносной программы.
Бэкдор создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"NDplDeamon"="nstask32.exe"
И изменяет следующее значение:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe nstask32.exe"
Бэкдор открывает произвольный порт зараженного компьютера, после чего соединяется с удаленным IRC-сервером. После чего подсоединяется к специальному IRC-каналу, по которому получает команды от злоумышленника. По команде бэкдор может выполнять следующие действия:
* сканировать сеть в поисках машин, подверженных некоторым популярным уязвимостям;
* копировать и запускать себя на уязвимых машинах;
* запускать HTTP- и TFTP-сервера;
* создавать и менять значения ключей в реестре;
* загружать, выгружать и запускать файлы;
* открывать командную оболочку (cmd);
* считывать системную информацию;
* сканировать клавиатурные нажатия;
* совершать DoS-атаки;
* сканировать IP адреса и порты;
* перехватывать пакеты ICMP, FTP, IRC;
* создавать SYN- и ICMP-флуд;
* открывать TCP- и UDP-порты;
* посылать TCP- и UDP-пакеты.
Другие названия
Backdoor.Win32.SdBot.at («Лаборатория Касперского») также известен как: Backdoor.SdBot.at («Лаборатория Касперского»), W32/Spybot.worm.dll (McAfee), W32.Randex.E (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A (Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro), Worm/Sdbot.39936.B (H+BEDV), Win32:RPCexploit (ALWIL), IRC/BackDoor.SdBot.MJ (Grisoft), Backdoor.SDBot.40B56FB5 (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Bck/SdBot (Panda), Win32/IRC.SdBot.AV (Eset)
На перекрестке науки и фантазии — наш канал