Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB.

Инсталляция

После запуска бэкдор выполняет следующие действия:

• Копирует себя по пути:

  %System%\drivers\BSyBT.exe

• Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
  Explorer\Run] "Microsoft Driver Setup" = %System%\drivers\BSyBT.exe
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Driver Setup" = %System%\drivers\BSyBT.exe
• Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:[HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "<путь к оригинальному файлу троянца>" =
  "< путь к оригинальному файлу троянца> :*:
  C:\WINDOWS\system32\drivers\BSyBT.exe

Распространение

Бэкдор копирует свое тело на все доступные для съемные диски под именем:

Вместе со своим исполняемым файлом бэкдор помещает файл:

< имя зараженного раздела >:\autorun.inf

Деструктивная активность

Программа соединяется с серверами IRC:

java.kutlufamily.com
java.baldmanpower.com
java.baldmanpower.net
java.baldmanpower.org

Помимо этого бэкдор обладает следующей функциональностью:

• сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами-
• копирование и запуск себя на уязвимых машинах-
• загрузка и запуск на зараженном компьютере различных файлов-
• остановка процессов различных антивирусных программ и отладчиков-
• отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию-
• выполнение на зараженном компьютере различных команд-
• и другое.