Backdoor.Win32.Agent.nj

Технические детали

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер около 290 КБ.

Инсталляция

После запуска бекдор копирует себя в системный каталог Windows с именем winsN2S.exe:

%System%\winsN2S.exe

Затем регистрирует этот файл в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\OLE]
[HKCU\System\CurrentControlSet\Control\Lsa]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKLM\Software\Microsoft\OLE]
[HKLM\System\CurrentControlSet\Control\Lsa]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "Windows NetStart Service2"="winsN2S.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Действия

Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, запускать на зараженной машине прокси серверы, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли, скриншоты экрана и другую информацию.