30 sierpnia 2002

Backdoor.Cabrotor - pozwala na kontrolowanie zainfekowanego komputera

Jest to backdoor mający postać pliku PE EXE i został stworzony przy pomocy środowiska programistycznego Delphi.

Oryginalny pakiet szkodnika składa się z trzech plików wykonywalnych:

  • CaBrONaToR.exe - klient służący do wysyłania komend do zdalnego serwera,
  • CaBrONeDiT.exe - program umożliwiający modyfikowanie domyślnych ustawień serwera,
  • 8======D.exe - serwer (właściwy plik backdoora).

Po uruchomieniu backdoor kopiuje się do folderu Windows oraz tworzy klucz w sekcji auto-run rejestru systemowego. W zależności od wersji, nazwy pliku EXE backdoora oraz klucze rejestru mogą być inne od podanych poniżej.

Nazwa pliku wykonywalnego backdoora: ASDAPI.EXE.

Tworzony klucz rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Nazwa klucza rejestru: LoadPowerProfile.

Backdoor otrzymuje zdalne komendy poprzez kanał IRC. Mogą to być, między innymi, następujące operacje:

  • wysyłanie raportu o zainfekowanym komputerze (wersja systemu Windows, typ procesoram nazwa użytkownika lub komputera itd.),
  • otwieranie i zamykanie tacki napędu CD-ROM,
  • uruchamianie lokalnych plików,
  • zamykanie systemu Windows,
  • pobieranie wskazanych plików,
  • wykonywanie ataków DoS na wskazanych adresach.