 |
 |
 |
|
|
|
Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Backdoor
23.01.2007
Backdoor.Win32.Delf.atnИзвестен под именем setup.exe, размер 821760 байта, написан на Delphi. В случае запуска скрытно выполняет следующие действия:1. Регистрирует в автозапуске файл C:\WINDOWS\system32\SVCHОST.exe (выделенная буква «О» - русская, причем все остальное имя записано английскими буквами) размером 136 кб (не путать с системный файлом, имя которого отличается только одной буквой и одинаково по начертанию). 2. Модифицирует правила встроенного Firewall Windows – записывает в список доверенных процессы msgsys.exe (166 кб, сжат UPX), SVCHОST.exe (136 кб, сжат UPX) и smsl.exe (233 кб) 3. Модифицирует параметр ключа Parameters\FirewallPolicy\StandardProfile\IcmpSettings с именем AllowInboundEchoRequest 4. Создает файлы WINDOWS\system32\SVCHОST.exe, WINDOWS\system32\msgsys.exe 5. Регистрирует службу «sysserv» с исполняемым файлом WINDOWS\system32\msgsys.exe 6. Модифицирует ключ реестра HKLM\SYSTEM\RAdmin\v2.0 – в данном ключе хранятся настройки RemoteAdmin 7. Создает файлы WINDOWS\system32\admdll.dll, WINDOWS\system32\smsl.exe, WINDOWS\system32\ntosn.exe 8. Завершает работу Назначение установленных файлов: файлы system32\admdll.dll, system32\smsl.exe являются компонентами утилиты RemoteAdmin – таким образом, производится скрытная установка RemoteAdmin и его настройка. SVCHОST.exe – это Trojan-Spy.Win32.Delf.kx, msgsys.exe - Backdoor.Win32.Delf.aix, ntosn.exe – архиватор RAR версии 2.60. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| (С) Зайцев О.В.
2003-2022 |
При использовании любых материалов данного сайта необходимо указывать источник информации. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
