15 sierpnia 2002

Backdoor.IRC.SdBot - wykorzystuje kanał IRC

Jest to rodzina backdoorów umożliwiających zdalnemu użytkownikowi kontrolowanie zainfekowanego komputera przy użyciu kanałów IRC.

Instalacja

W zależności od wersji, backdoor kopiuje się do systemowego folderu Windows lub do innych katalogów znajdujących się w tym folderze. Ponadto szkodnik tworzy klucze w rejestrze systemowym zapewniając sobie uruchamianie wraz z każdym startem systemu operacyjnego:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run

Wartości kluczy mogą się różnić w zależności od wersji backdoora.

Funkcje dodatkowe

Backdoor łączy się z różnymi serwerami IRC, po czym przyłącza się do jednego z kanałów i oczekuje na komendy. Zdalny użytkownik może wykonywać przy użyciu backdoora wiele komend, w tym: pobieranie i uruchamianie plików, symulowanie serwera proxy IRC, przyłączanie do kanałów IRC i wysyłanie przez nie wiadomości, wysyłanie pakietów UDP oraz ICMP do zdalnych komputerów.