Backdoor.Cabrotor
Oryginalny pakiet szkodnika sk艂ada si臋 z trzech plik贸w wykonywalnych:
- CaBrONaToR.exe - klient s艂u偶膮cy do wysy艂ania komend do zdalnego serwera,
- CaBrONeDiT.exe - program umo偶liwiaj膮cy modyfikowanie domy艣lnych ustawie艅 serwera,
- 8======D.exe - serwer (w艂a艣ciwy plik backdoora).
Po uruchomieniu backdoor kopiuje si臋 do folderu Windows oraz tworzy klucz w sekcji auto-run rejestru systemowego. W zale偶no艣ci od wersji, nazwy pliku EXE backdoora oraz klucze rejestru mog膮 by膰 inne od podanych poni偶ej.
Nazwa pliku wykonywalnego backdoora: ASDAPI.EXE.
Tworzony klucz rejestru systemowego:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Nazwa klucza rejestru:
Backdoor otrzymuje zdalne komendy poprzez kana艂 IRC. Mog膮 to by膰, mi臋dzy innymi, nast臋puj膮ce operacje:
- wysy艂anie raportu o zainfekowanym komputerze (wersja systemu Windows, typ procesoram nazwa u偶ytkownika lub komputera itd.),
- otwieranie i zamykanie tacki nap臋du CD-ROM,
- uruchamianie lokalnych plik贸w,
- zamykanie systemu Windows,
- pobieranie wskazanych plik贸w,
- wykonywanie atak贸w DoS na wskazanych adresach.