«Вирус» распространяется под видом конвертера документов EasyDoc Converter. Но на самом деле он не несет никакой полезной функции и загружает вредоносный скрипт.
Механизм заражения
После загрузки скрипт устанавливает и регистрирует в системе вредоносные компоненты: Web Service (PHP) и Tor Hidden Service. Web Service (PHP) представляет собой веб-сервер, а Tor Hidden Service — сервис для анонимного доступа. Используя веб-панель в анонимной сети Tor, злоумышленник получает возможность доступа к компьютеру жертвы по протоколу Onion.
Он может получать доступ к файлам, выполнять команды, запускать скрипты (написанные на PHP, PERL, Python, Ruby, Java, C), узнать настройки фаервола, подключать и управлять базами данных, получать доступ к списку системных процессов, отправлять сообщения электронной почты с вложениями.
Удаленный доступ к файлам на ПК жертвы через веб-панель в сети Tor