BackDoor.IRC.Codex.1 или новый троян для FTP-клиентов


BackDoor.IRC.Codex.1 - вредоносная программа, способная:

  • запускать на инфицированной машине загруженные из Интернета файлы;
  • участвовать в DDoS–атаках;
  • красть пароли от популярных FTP-клиентов и данные веб-форм.


Троян функционально похож на другую вредоносную программу - BackDoor.IRC.Aryan.1, заразившую большое число пользовательских компьютеров по всему миру.

BackDoor.IRC.Codex.1 использует для координации своих действий технологию IRC (Internet Relay Chat) — протокол, предназначенный для обмена сообщениями в режиме реального времени. Запустившись на компьютере жертвы, троян ищет в памяти и удаляет процесс командного интерпретатора Windows

  • cmd.exe

после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.

Hiev url 2FEF

После запуска BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие анализу этой вредоносной программы. Троян ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троян проверяет наличие себя в операционной системе, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.

Эта вредоносная программа обладает достаточно развитым функционалом. Она способна:

  • загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения;
  • принимать участие в DDoS-атаках;
  • передавать злоумышленникам информацию, вводимую пользователем в веб-формы;
  • красть пароли от популярных FTP-клиентов.