Backdoor.Haxdor.o
Po uruchomieniu backdoor instaluje si臋 w systemowym folderze Windows jako plik w32_ss.exe, a nast臋pnie tworzy kolejne modu艂y:
- debugg.dll - g艂贸wny modu艂 backdoora
- sdmapi.sys *
- boot32.sys *
- c3.dll *
- c3.sys *
- c4.sys *
Pliki oznaczone symbolem * s膮 instalowane wy艂膮cznie w systemach Windows NT/ 2000/ XP.
W systemach Windows 9x/Me szkodnik tworzy klucz rejestru systemowego:
ControlMPRServicesTestService]
DllName="debugg.dll"
EntryPoint="MemManager"
StackSize=0
W systemach Windows NT/2000/XP szkodnik tworzy klucz rejestru systemowego:
NTCurrentVersionWinlogonNotifydebugg]
DllName="debugg.dll"
Startup="MemManager"
Impersonate=1
Asynchronous=1
MaxWait=1
Szkodnik otwiera port 1661 i oczekuje na zdalne polecenia. Backdoor obs艂uguje szeroki wachlarz komend administracyjnych.
Na polecenie hakera backdoor mo偶e wysy艂a膰 zainfekowane wiadomo艣ci e-mail. Ich zawarto艣膰 jest definiowana przez atakuj膮cego.