После запуска бэкдор создает свой файл с именем svchost.exe в каталоге запуска Windows, получая полное управление системой при каждом включении КПК. Бэкдор определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и бэкдор активен. После этого он открывает порт 44299 для приема различных команд. Основная функция WinCE.Brador.a - открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. Бэкдор не имеет функции самораспространения и может попасть на КПК пользователя под видом другой безобидной программы, по классической для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через Internet, а также при передаче данных с настольного компьютера. По данным аналитиков "Лаборатории Касперского", автором WinCE.Brador.a предположительно может являться российский вирусописатель, поскольку информация о появлении первого официального бэкдора для PocketPC поступила с российского адреса электронной почты, а текст сообщения составлен на русском языке.

Поделитесь материалом с коллегами и друзьями