Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll": %System%\digeste.dll
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\System\CurrentControlSet\Control\SecurityProviders] "SecurityProviders" = "digeste.dll"
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_".
Деструктивная активность
Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на сервер злоумышленника следующую информацию: http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689
где "uid" — статически заданное значение "1", "guid" — серийный номер диска, "rnd" — случайное число, "first" — флаг первого запуска (если запуск первый, то значение "1", если нет, то "0").
В ответ получает сценарий дальнейшей работы бэкдора. Лог своей работы сохраняет в каталоге Windows под именем "wiaserviv.log": %WinDir%\wiaserviv.log
На момент создания описания сервер злоумышленника был недоступен.
