Jest to klasyczny backdoor do obchodzenia zabezpieczeń systemu.
Działanie:
Tworzy winlogon.exe z złośliwym kodem i umieszcza w:
* %appdata%\Winlogon\winlogon.exe
Kopiuje go także do %windir%\system32\install\Windows.exe.
Szkodnik uruchamia się z rejestru:
Kod: Zaznacz cały
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%path_of_executed_file% = %appdata%\Winlogon\winlogon.exe
Tworzy w rejestrze:
Kod: Zaznacz cały
* HKEY_CURRENT_USER\Software\chuck norris
FirstExecution = %date_time%
NewIdentification = "chuck norris"
NewGroup = 2
Backdoor Functionality
Łączy się na porcie 150 w celu udostępnienia kontroli.
Źródło: Dostępne tylko dla zarejestrowanych użytkowników