Backdoor.Win32.CARBANAK.A

它侦听端口。 它执行远程恶意用户的命令，有效地攻击受感染的系统。 它读取包含要发送给远程服务器的命令和数据的配置文件。

安装

它在受感染的系统中植入下列自身副本：

• %User Startup%\{random characters}.exe

(注意: %User Startup% 是当前用户的启动文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

它添加下列互斥条目，确保一次只会运行一个副本：

• {random characters}

它向下列进程中注入代码：

• services.exe - if AVG Product is installed
• iexplore.exe - if Trend Micro Product is installed
• mstsc.exe - if Trend Micro Product is installed and iexplore.exe is not found
• svchost.exe

后门例程

它侦听下列端口：

• 443

它执行远程恶意用户的下列命令：

• Execute commands specified in the configuration file
• Set the loaded state of the bot
• Run Ammyy plugin
• Update bot
• Use specified proxy settings
• Create or deletes a user with rights for RDP
• Delete specified service or file
• Download and executes a file in memory
• Retrieve user credentials using the mimikatz library
• Take a screenshot and sends it to the C&C server
• Run VNC plugin
• Uninstall bot
• List all running processes
• Initiate a reverse shell to the server

它读取包含要发送给远程服务器的命令和数据的配置文件。

其他详细信息

它植入下列文件/组件：

• %All User Profile%\Application Data\Mozilla\{random characters}.bin