Backdoor-QR — очередная модификация троянской програмы

Backdoor-QR — троянская программа, позволяющая злоумышленнику удаленно контролировать инфицированные машины. Троянец является также «клавиатурным шпионом»: перехватывает нажатия клавиш, ворует пароли и системную информацию. Будучи инфицированным, компьютер становится «сервером» для удаленного «клиента» (см. Backdoor.BO).

При выполнении троянец открывает на зараженной машине порты 12973 и 12975, что позволяет злоумышленнику подсоединиться к системе.

Найденную системную информацию и нажатия клавиш пользователем пораженного компьютера троян сохраняет в файлах:

%TrojanPath%SwCon.BLB
%TrojanPath%SwCon.DAT
%TrojanPath%SwCon.IDX
%SysDir%AddIpa.dll
%SysDir%Ipopi.dll
%SysDir%Mcati.dll
%SysDir%Netcar.dll

Для того, чтобы загружаться при старте системы, троянец модифицирует системный реестр, добавляя в него ключ:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Run%TrojanFileName%%TrojanFileName%.EXE

Троянец также создает необходимые ему для работы DLL-файлы: Imech.dll, and WsHk32.dll.