Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Управляется через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 131072 байт. Написана на VB.
Инсталляция
После запуска бэкдор выполняет следующие действия:
- Копирует себя по пути:
%System%\drivers\BSyBT.exe
- Для автоматического запуска созданной копии при каждом следующем старте системы бэкдор создает следующий ключ системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run] "Microsoft Driver Setup" = %System%\drivers\BSyBT.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Driver Setup" = %System%\drivers\BSyBT.exe - Добавляет свой исполняемый файл в список исключений в Windows XP Firewall:[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<путь к оригинальному файлу троянца>" =
"< путь к оригинальному файлу троянца> :*:
C:\WINDOWS\system32\drivers\BSyBT.exe
Распространение
Бэкдор копирует свое тело на все доступные для съемные диски под именем:
RECYCLER\S-51-9-25-3434476501-1644491933-601013360-1214\BSyBT.exe
Вместе со своим исполняемым файлом бэкдор помещает файл:
< имя зараженного раздела >:\autorun.infчто позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
name="doc3">
Деструктивная активность
Программа соединяется с серверами IRC:
java.kutlufamily.comи получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры и заражать их, скачивать файлы и т.д.
java.baldmanpower.com
java.baldmanpower.net
java.baldmanpower.org
Помимо этого бэкдор обладает следующей функциональностью:
- сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (NTLM, RPCSS (MS03-039), SMB и др.) или открытыми сетевыми ресурсами-
- копирование и запуск себя на уязвимых машинах-
- загрузка и запуск на зараженном компьютере различных файлов-
- остановка процессов различных антивирусных программ и отладчиков-
- отсылка злоумышленнику подробной информации о зараженной системе, в том числе пароли и другую секретную информацию-
- выполнение на зараженном компьютере различных команд-
- и другое.