SUB7.22.D — новый вариант хакерской программы

Появилась новая версия Win32-троянца из семейства утилит удаленного администрирования TROJ_SUB7.22.D. Троянец создан при помощи компилятора Delphi и запакован компрессором UPX (утилитой для сжатия PE EXE файлов). По своим возможностям напоминает Back Orifice trojan и позволяет удаленному хакеру осуществлять доступ на компьютер-жертву практически с правами системного администратора.

После выполнения троянец создает на инфицированном компьютере в каталоге Windows свою копию с именем WINADMIN.EXE, а также записывает еще один файл размером 10767 байт, сжатый с помощью UPX-компрессии и имеющий случайное имя. Троянец модифицирует файл SYSTEM.INI, в котором строка:

{boot}shell=Explorer.exe

заменяется на:

{boot}shell=Explorer.exe winadmin.exe

Помимо этого троянец меняет значение следующих ключей системного реестра:

HKEY_CLASSES_ROOTexefileshellopencommand

HKEY_LOCAL_MACHINESoftwareCLASSESexefileshell
opencommand

со значения

«%1» %*

на

[name of dropped file] «%1» %*

Затем троянец загружает себя в память компьютера и слушает порт 643, ожидая команд своего хозяина.