ORION — очередная программа для хакеров

TROJ_ORION (aka BackDoor-IF.svr, ORION, Backdoor.Dynod) — еще одна троянская программа, являющаяся по сути утилитой скрытого администрирования (backdoor).
Троянец, замаскированный под очередной генератор ключей для FRUITYLOOPSPRO, позволяет злоумышленнику удаленно управлять инфицированной машиной.

После запуска троянец записывает свою копию в системный каталог Windows и выводит на экран как бы пользовательский интерфейс генерации серийного номера для программы FRUITYLOOPSPRO. При нажатии кнопки «about» отображается messagebox с заголовком «Keygen»:

Product Info:
Name….: FruityLoops Pro
URL……: http://www.fruityloops.com/
Contact OriON:
E-Mail…….: orion99@mail.com
IRC ERNet..: #OriON2000
Homepage.: http://orion.castlegardens.com

А троянец тем временем записывает файл-«дроппер» — свою копию под именем SYSTRAY.EXE в директории C:WINDOWS и C:WINDOWSSYSTEM. При этом оригинальный файл SYSTRAY.EXE троянец сохраняет в C:WINDOWSSYSTEMUPDATES.

Записанный троянцем «дроппер» выполняется как служебный процесс, запускаясь одновременно с истинной программой системного трея. На зараженной машине троянец открывает и «слушает» порт 1150. Если входящего сигнала от «клиента» не поступает, троянец приступает к «прослушиванию» порта 1151 и т.д. пока не получит необходимый ответ.

Троянец также записывает в C:WINDOWS еще одну свою копию — файл UNDLL.EXE, который сжат UPX-компрессией v1.01 (утилитой для сжатия PE EXE файлов).