Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 5679 байт. Упакована UPX. Распакованный размер – около 11 КБ. Написана на C++.
Инсталляция
После запуска бэкдор копирует свое тело в файл:
%System%\DKING!.exe
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
После запуска бэкдор получает путь к исполняемому файлу браузера, установленного в системе по умолчанию, считывая значение ключа системного реестра:
[HKCR\http\shell\open\command] "(Default)"
Затем процесс браузера запускается, и в его адресное пространство внедряется исполняемый код, реализующий описанный ниже функционал. При этом в случае возникновения ошибки, рассматриваемый вредоносный код будет внедрен в адресное пространство процесса "EXPLORER.EXE". Бэкдор устанавливает соединение с хостом:
9203.***p.cc
При этом злоумышленнику отправляется имя зараженного компьютера и имя пользователя. Далее по команде злоумышленника бэкдор может выполнять следующие действия:
запускать на зараженном компьютере удаленный командный терминал;