Backdoor.Win64.MUDDYROT.THGAFBD

它以文(wén)件的形式出现在系统中(zhōng)，可(kě)能(néng)是其他(tā)恶意软件投放的，或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

它执行遠(yuǎn)程恶意用(yòng)户的命令，有(yǒu)效地攻击受感染的系统。 However, as of this writing, the said sites are inaccessible.

它在受感染计算机上收集特定信息。

新(xīn)病毒详细信息

它以文(wén)件的形式出现在系统中(zhōng)，可(kě)能(néng)是其他(tā)恶意软件投放的，或者是用(yòng)户在访问恶意网站时无意中(zhōng)下载的。

安(ān)装(zhuāng)

它使用(yòng)不同的文(wén)件名(míng)在下列文(wén)件夹中(zhōng)植入自身的副本：

• c:\programdata\packagemanager\packagemanager.exe

后门例程

它执行遠(yuǎn)程恶意用(yòng)户的下列命令：

• 0x1 → Upload file (filename: "exit")
• 0x2 → Download file (filename: "exit")
• 0x3 → Reverse shell
• 0x4 → Update socket optval
• 0x5 → Kill process
• 0x8 → Delete Task
• 0x9 → Check if task exists
• 0xA → Create scheduled task
• 0x60 → Update sleep interval
• 0x61 → Change socket optval
• 0x62 → PingBack C2 with same message

However, as of this writing, the said sites are inaccessible.

信息窃取

它在受感染计算机上收集以下信息：

• Computer Name
• Username

其他(tā)详细信息

该程序执行以下操作(zuò)：

• It uses the following fingerprint when connecting to the IP address:
  • {Computer Name}/{Username}