Wirus ForBot
Pojawił się wirus o nazwie ForBot. Jest to backdoor pozwalający zdalnemu hakerowi na przejęcie całkowitej kontroli nad zainfekowanym komputerem. Szkodnik ma postać pliku PE EXE o rozmiarze około 85 KB (kompresja MEW, rozmiar po rozpakowaniu - około 325 KB).
Po uruchomieniu robak kopiuje się do foldera \Windows\System z nazwą dllmanager.exe i tworzy w rejestrze systemowym poniższe klucze, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplScan" = "dllmanager.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplScan" = "dllmanager.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"NvCplScan" = "dllmanager.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplScan" = "dllmanager.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplScan" = "dllmanager.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplScan" = "dllmanager.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplScan" = "dllmanager.exe"
Backdoor łączy się z serwerem IRC i oczekuje na zdalne polecenia.
