пятница, 6 марта 2009 г.

Backdoor.Win32.IRCBot.eqq

Имя файла: reg32.exe
Размер: 14,7 Кб
Time/Date Stamp (GMT): 26 июля 2008 г. 21:42:44
http://www.virustotal.com/ru/analisis/5f0ca337ff3055ff342a31dacef8bbce
Файл обработан упаковщиком eXPressor v1.4. Программа расшифровывает строки, находит адреса нужных функций и производит запись всего этого в процесс explorer.exe, а затем запускает удаленный поток в этом процессе. Копирует себя в папку C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ и тут же создает файл Desktop.ini:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Устанавливает себя в автозапуск через ключ реестра HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components.
Ищет USB диски и если находит, то копирует себя также в RECYCLER и устанавливает в автозапуск. В случаи заражения информирует сервер сообщением: "PRIVMSG ##e :Infected usb drive: D:"
Далее соединяется с серверами: shop.hostswiss.com, shop.m-n-g.info, shop.worldadult.biz откуда и производится управление ботом. Умеет скачивать и запускать на исполнение файлы.

2009, GMax
e_gmax@mail.ru

Комментариев нет: