Троянец DARKFTP подбирается к жертве через FTP

DARKFTP — троянская Win32-программа, являющаяся утилитой удаленного администрирования (backdoor). Для своей работы использует FTP и IRC.

При запуске инсталлируется в систему: копирует себя в каталог системный Windows под именем DARKFTP.EXE и регистрирует этот файл в каталоге авто-запуска системного реестра.

Троянец добавляет множество своих ключей в системный реестр для возможности установления соединения по IRC и FTP с инфицированным компьютером.

HKEY_LOCAL_MACHINE_SoftwareDataLogic
ActiveSubControlArrays IRCSRV=194.247.160.11

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCPRT=6667

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCCHN=#whidarkftp

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCUSE=1

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPRT=21

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPMUS=99

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPUSR=anonymous

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPPWD=bill@sux.com

Зная IP-адрес зараженной машины злоумышленник через FTP-порт может получить удаленный доступ к ней.