|
Вредоносное ПО, приложение Windows (PE-EXE файл), предоставляет хакеру удаленный доступ к зараженному компьютеру. После запуска программа копирует свое тело в Автозагрузку текущего пользователя, что создает возможность автоматического запуска при каждом старте. Потом вирус запускает экземпляр системного процесса "EXPLORER.EXE", внедряет туда исполняемый код, который реализует весь деструктивный функционал.
Код активизирует экземпляры системного процесса "SVCHOST.EXE", запускает в их адресное пространство код с функционалом бэкдора, который удаляет оригинальный файл вируса, устанавливает соединение с хакерами для получения команд. |