BackDoor.IrcContact
(BDS/Backdoor.Gen, PAK_Generic.001, Backdoor.Irccontact.AL, Backdoor.IrcContact.3.0, Backdoor.IrcContact.30, Cryp_Yodap, Parser error, TR/Crypt.CFI.Gen, IRC-Contact, Cryp_MEW-11, Backdoor.Win32.IrcContact.10, Generic Malware.hs, IRC/BackDoor.Contact.C, W32/Generic.m, BackDoor.Generic2.BRY, BackDoor.Agent.AHK, BackDoor.Small.15.AE, BackDoor.IrcContact.C, Backdoor.Win32.IrcContact.30, Trojan:Win32/Ircbrute, BackDoor.IrcContact.O, W32/Generic.b.worm, BackDoor.Generic2.PRI)
Описание добавлено:
2006-01-31
Тип вируса: Программа удалённого администрирования
Размер: 106381 байт
Уязвимые ОС: Win95/98/NT/2k/XP/2k3
Техническая информация
Написан на MS Visual C++ 7.0.
При запуске создаёт следующие файлы:
%Windir%\System32\system32.dll.exe (106381 байт, детектируется антивирусом Dr.Web как Backdoor.IRCContact)
Для обеспечения автозагрузки своих модулей создаёт в реестре разделы и ключи:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system32.dll = "%Windir%\system32\system32.dll.exe"
При запуске производит попытки подключения к удалённому IRC-серверу для получения команд от злоумышленника.
Содержит функционал для выполнения следующих команд злоумышленника:
Все файловые операции (создание, чтение, запись, удаление файлов и каталогов)
Открытие портов
Управление процессами (просмотр запущенных, запуск, уничтожение)
Закачка файлов из Интернет или через DCC-сессию IRC-чата
Закрытие произвольных окон
Управление списком пользователей Windows (добавление/удаление пользователей)
Сбор информации о системе
DoS-атака на удалённый хост (флуд)
