Backdoor.Win32. Kbot.al

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 12787 байт.

Инсталляция

После запуска бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\mssrv32.exe

После чего бэкдор создает службу с именем "Microsoft security update service", которая автоматически запускает исполняемый файл бэкдора при каждой последующей загрузке системы. При этом создается следующий ключ реестра:

 
[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]

Деструктивная активность

При запуске бэкдор внедряет в процесс "svchost.exe" свой код, который выполняет следующие действия:

Регистрируется на сайте злоумышленников, открывая следующий URL:

http://84.252.***.***/_rus/stat.php

И получает адрес хоста в интернете, на который будут производиться DDOS атаки. Атаки могут быть следующих типов:

      * SYN Flood
      * ICMP Flood
      * UDP Flood