RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Small.cz
| Время детектирования | 02 янв 2005 15:54 MSK |
| Время выпуска обновления | 02 янв 2005 15:54 MSK |
| Описание опубликовано | 18 ноя 2005 20:20 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.Деструктивная активность
После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "avast"="%WinDir%\\troyan.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный объект представляет собой IRC-бэкдор.
Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению
Выгрузить процесс troyan.exe из памяти.
Найти и удалить из реестра инсталляционный ключ бэкдора:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "avast"="%WinDir%\troyan.exe"
Найти и удалить файлы:
%WinDir%\troyan.exe %WinDir%\z31.exe
Перезагрузить машину.
Произвести полную проверку компьютера.
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей