Backdoor.Win32.Small.eo

Jest to backdoor pozwalaj膮cy zdalnemu u偶ytkownikowi na uzyskanie dost臋pu do zainfekowanego komputera. Najcz臋艣ciej ma posta膰 pliku HWCLOCK.EXE o rozmiarze oko艂o 7 KB.

Szkodnik 艂膮czy si臋 z kana艂em IRC i oczekuje na polecenia od zdalnego u偶ytkownika. Backdoor mo偶e pobiera膰 inne programy (trojany), a tak偶e wykorzystywa膰 luki w systemie MS Windows w celu wnikania do innych komputer贸w znajduj膮cych si臋 w sieci.

Nast臋pnie trojan rejestruje si臋 jako us艂uga systemowa:

Nazwa us艂ugi:

hwclock

Nazwa wy艣wietlana:

Hardware Clock Driver

Opis us艂ugi:

Enables a computer to save and restore system time information using the
hardware clock. Stopping or disabling this service will result in system instability.

Szkodnik tworzy nast臋puj膮ce klucze w rejestrze systemowym:

[HKLMsoftwaremicrosoftoleenabledcom] = "n"
[HKLMsystemcurrentcontrolsetcontrollsa estrictanonymous]
= "1"

W kodzie trojana zapisane s膮 nast臋puj膮ce teksy:

"symantec.loves.the.cock.pheer.biz"
"owjgp.game2max.net"
Exploit-DcomRpc.g.gen (McAfee),   W32.Wallz (Symantec),   BackDoor.Restrict (Doctor Web),   W32/Hwbot-A (Sophos),   BKDR_SDBOT.GAA (Trend Micro),   BDS/Small.EO (H+BEDV),   BackDoor.Small.27.AQ (Grisoft),   Backdoor.Small.EO (SOFTWIN),   Bck/Small.HI (Panda)