-
Backdoor.Win32.Agent.cns
Попробую себя в этом амплуа :)
Backdoor, как правило, загружается через вредоносный скрипт, встроенный в код сайта. При выполнении скрипта на компьютер загружается файл actxprxyn.exe размером 10752 байт, сохраняется в %System32%. Прописывается как служба
[code]"Рабочая станция lanmanworkshipRpcSs - Unknown owner"[/code]
в реестре создаются ключи [code]HKLM\System\CurrentControlSet\Services\lanmanworkshipRpcSs
HKLM\System\ControlSet00?\Services\lanmanworkshipRpcSs[/code]
Затем программа загружает kcp.sys размером 4224 байта и lehx.exe размером 71915 байта. После этого lehx.exe устанавливает соединение с узлами
[code]195.5.117.232
194.67.23.20
72.14.215.27
64.233.183.27
66.111.474[/code]
и прочими по 25 порту, осуществляя почтовые спам-рассылки.
Kcp.sys прописывается в %System32%\drivers, создает ключи в реестре [code]HKLM\System\CurrentControlSet\Services\kcp
HKLM\System\ControlSet00?\Services\kcp[/code]
и с помощью руткит-технологий скрывает lehx.exe, находящийся в %UserProfile%\Local Settings\Temp, вследствие чего AVZ не может собрать информацию об этом файле.
Но сам kcp.sys вполне виден в "Модулях пространства ядра".
Page generated in 0.01136 seconds with 10 queries