07.03.2007
Backdoor.Win32.Small.ls
Исполняемый файл имеет размер 5.5 кб, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла под именем WINDOWS\system32\wininet.exe
2. Создает на диске файл WINDOWS\system32\svshost.dll размером 2.5 кб
3. Регистрирует в автозапуске ShellServiceObjectDelayLoad\SysRun объект с CLSID {D7FFD784-5276-42D1-887B-00267870A4C7}
4. Регистрирует класс с {D7FFD784-5276-42D1-887B-00267870A4C7}, исполняемый файл WINDOWS\system32\svshost.dll
5. Запускает WINDOWS\system32\wininet.exe и завершает работу
Процесс wininet.exe скрытно обменивается с сайтом в Интернет (URL жестко задан в теле трояна), загружает файл ips.txt с набором IP адресов. После этого он открывает на прослушивание порт TCP (номер порта меняется при каждом запуске), затем повторно связывается с сайтом и передает номер открытого порта и версию операционной системы пораженного компьютера.
Удаление вручную:
Удаление сводится к уничтожению файлов, принадлежащих данной вредоносной программе. Эта операция может быть выполнена автоматически при помощи скрипта:
begin
DeleteFile('%system32%\wininet.exe');
DeleteFile('%system32%\svshost.dll');
// Чистка следов в реестре
ExecuteSysClean;
RebootWindows(true);
end.