Троянская программа, позволяющая злоумышленнику удаленно выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.
Программа является динамической библиотекой Windows (PE DLL-файл). Написана на Visual C++. Размер файла — 43520 байт, ничем не упакован.
Бэкдор инсталлируется в систему при помощи другой вредоносной программы.
Деструктивная активность
Бэкдор пытается запустить следующие файлы:
%system%\nstask32.exe %system%\tftp.exe Предполагается, что они уже были загружены из сети при помощи другой вредоносной программы.
Бэкдор создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "NDplDeamon"="nstask32.exe" И изменяет следующее значение:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "shell"="explorer.exe nstask32.exe" Бэкдор открывает произвольный порт зараженного компьютера, после чего соединяется с удаленным IRC-сервером. После чего подсоединяется к специальному IRC-каналу, по которому получает команды от злоумышленника. По команде бэкдор может выполнять следующие действия:
сканировать сеть в поисках машин, подверженных некоторым популярным уязвимостям; копировать и запускать себя на уязвимых машинах; запускать HTTP- и TFTP-сервера; создавать и менять значения ключей в реестре; загружать, выгружать и запускать файлы; открывать командную оболочку (cmd); считывать системную информацию; сканировать клавиатурные нажатия; совершать DoS-атаки; сканировать IP адреса и порты; перехватывать пакеты ICMP, FTP, IRC; создавать SYN- и ICMP-флуд; открывать TCP- и UDP-порты; посылать TCP- и UDP-пакеты.
Рекомендации по удалению
Удалить оригинальный файл бекдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить следующие ключи реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "NDplDeamon"="nstask32.exe" Изменить значение следующего параметра: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "shell"="explorer.exe nstask32.exe" на: "shell"="explorer.exe"
|