Backdoor.Cabrotor

Jest to backdoor maj膮cy posta膰 pliku PE EXE. Zosta艂 stworzony przy pomocy 艣rodowiska programistycznego Delphi.

Oryginalny pakiet szkodnika sk艂ada si臋 z trzech plik贸w wykonywalnych:

  • CaBrONaToR.exe - klient s艂u偶膮cy do wysy艂ania komend do zdalnego serwera,
  • CaBrONeDiT.exe - program umo偶liwiaj膮cy modyfikowanie domy艣lnych ustawie艅 serwera,
  • 8======D.exe - serwer (w艂a艣ciwy plik backdoora).

Po uruchomieniu backdoor kopiuje si臋 do folderu Windows oraz tworzy klucz w sekcji auto-run rejestru systemowego. W zale偶no艣ci od wersji, nazwy pliku EXE backdoora oraz klucze rejestru mog膮 by膰 inne od podanych poni偶ej.

Nazwa pliku wykonywalnego backdoora: ASDAPI.EXE.

Tworzony klucz rejestru systemowego:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Nazwa klucza rejestru: LoadPowerProfile.

Backdoor otrzymuje zdalne komendy poprzez kana艂 IRC. Mog膮 to by膰, mi臋dzy innymi, nast臋puj膮ce operacje:

  • wysy艂anie raportu o zainfekowanym komputerze (wersja systemu Windows, typ procesoram nazwa u偶ytkownika lub komputera itd.),
  • otwieranie i zamykanie tacki nap臋du CD-ROM,
  • uruchamianie lokalnych plik贸w,
  • zamykanie systemu Windows,
  • pobieranie wskazanych plik贸w,
  • wykonywanie atak贸w DoS na wskazanych adresach.