BackDoor.Pads или открытый доступ к инфицированным компьютерам


BackDoor.Pads - вредоносная программа собирающая информацию об инфицированном компьютере, передающая ее злоумышленникам, а также способная выполнять команды, поступающие с удаленного сервера.

BackDoor.Pads создан на языке ассемблер и представляет собой модуль, реализованный в виде нескольких компонентов. После запуска бэкдора происходит расшифровка кода, которому передается управление, после чего вредоносный модуль выполняет поиск необходимых для его работы функций API в системных библиотеках Windows.

shell BackDoor.Pads

BackDoor.Pads собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Затем он пытается определить наличие в конфигурации сети прокси-сервера, для чего бэкдор считывает из реестра настройки подключения браузера Internet Explorer. Кроме того, BackDoor.Pads ищет в системе запущенные процессы веб-браузеров Internet Explorer, Firefox, Opera, Chrome, ряда почтовых клиентов, а также иных приложений, и если находит их, расшифровывает в памяти и запускает на исполнение соответствующий базонезависимый код. Если трояну удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем.

Собранные сведения об инфицированном компьютере BackDoor.Pads отправляет на удаленный сервер злоумышленников, а оттуда получает управляющие команды. В бэкдоре реализован функционал, подобный возможностям небольшого telnet-сервера, однако все исполняемые вредоносной программой команды "зашиты" в ней самой, благодаря чему бэкдор не использует внешний командный интерпретатор, такой как, например, cmd.exe. Среди принимаемых бэкдором команд можно назвать:

  • команду поиска файлов;
  • создания/удаления папок;
  • копирования, перемещения и удаления файлов;
  • перезагрузки Windows;
  • получения списка запущенных процессов;
  • загрузки файлов и их запуска от имени определенного пользователя.


Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.

BackDoor.Pads способен выполнять на инфицированном компьютере различные команды, предоставляя злоумышленникам доступ к ресурсам зараженной машины, что представляет большую опасность для пользователя.