Backdoor.Win64.CARBANAK.A

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入下列自身副本：

• %User Startup%\{random characters}.exe

(注意: %User Startup% 是当前用(yòng)户的启动文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

它添加下列互斥条目，确保一次只会运行一个副本：

• {random characters}

它向下列进程中(zhōng)注入代码：

• services.exe - if AVG Product is installed
• iexplore.exe - if Trend Micro Product is installed
• mstsc.exe - if Trend Micro Product is installed and iexplore.exe is not found
• svchost.exe

后门例程

它侦听下列端口：

• 443

它执行遠(yuǎn)程恶意用(yòng)户的下列命令：

• Execute commands specified in the configuration file
• Set the loaded state of the bot
• Run Ammyy plugin
• Update bot
• Use specified proxy settings
• Create or deletes a user with rights for RDP
• Delete specified service or file
• Download and executes a file in memory
• Take a screenshot and sends it to the C&C server
• Run VNC plugin
• Uninstall bot
• List all running processes
• Initiate a reverse shell to the server

它读取包含要发送给遠(yuǎn)程服務(wù)器的命令和数据的配置文(wén)件。

其他(tā)详细信息

它植入下列文(wén)件/组件：

• %All User Profile%\Application Data\Mozilla\{random characters}.bin