Троянская программа удаленного администрирования, предоставляющая злоумышленнику доступ к зараженной системе.
Инсталляция
При запуске троянец создает в системном каталоге Windows («%System%)» файл под именем «service.exe» (размер — 182941 байт) и запускает его на выполнение со следующими ключами:
service.exe /install /silence
Бэкдор добавляет службу c именем «r_server» в системный реестр:
[HKLM\Software\CurrentControlSet\Services\r_server] "Start" = "dword:0x00000002" "ImagePath" = "%System%\service.exe /service" "DisplayName" = "Remote Administrator Service"
При последующем запуске системы троянский сервис запускается автоматически.
Деструктивная активность
После инсталляции троянец запускается с указанием «прослушиваемого» порта и паролем доступа:
service.exe /pass:SXX13CVV2 /port:4899 /save /silence
Бэкдор предоставляет доступ к удаленному компьютеру через Telnet-протокол. Имеет возможность обеспечения доступа к файлам на компьютере пользователя, а также удаленного управления системой.