RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Bredolab.a
| Время детектирования | 01 июл 2009 17:52 MSK |
| Время выпуска обновления | 22 июл 2009 18:51 MSK |
| Описание опубликовано | 20 ноя 2009 15:28 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE–EXE файл). Имеет размер 22528 байт. Написана на C++.
Деструктивная активность
После запуска троянец внедряет в адресное пространство процесса "explorer.exe" исполняемый код, который выполняет следующие действия:
- копирует оригинальный файл троянца в файл:
%USERPROFILE%\Start Menu\Programs\Startup\rncsys32.exe
Это приводит к автоматическому запуску созданной копии при каждом следующем старте системы. - Внедряет в адресное пространство процесса "svchost.exe" код, реализующий функционал бэкдора. При этом выполняется подключение к следующему хосту:
78.109.29.***.hosting.ua
После этого злоумышленник получает возможность удаленного управления зараженным компьютером (загрузка файлов, запуск и завершение процессов, сбор информации о системе, проведение DoS-атак). - Удаляет оригинальный файл троянца после завершения его работы. После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%USERPROFILE%\Start Menu\Programs\Startup\rncsys32.exe
- Перезагрузить компьютер.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan.
Win32. Agent. cnyo («Лаборатория Касперского») - Trojan:
Downloader-BRM (McAfee) - Mal/EncPk-HJ (Sophos)
- Trojan.
Downloader. Small-3265 (ClamAV) - Trj/Downloader.
MDW (Panda) - W32/Agent.
HOP (FPROT) - TrojanDownloader:
Win32/Bredolab. X (MS(OneCare)) - Trojan.
Botnetlog. 11 (DrWeb) - Win32/TrojanDownloader.
Bredolab. AA trojan (Nod32) - Trojan.
Dropper. Agent. UOS (BitDef7) - Trojan.
Agent. MYIH (VirusBuster) - Trojan.
Win32. Bredolab (Ikarus) - SHeur2.
ANVZ (AVG) - TR/Dldr.
Small. jxf (AVIRA) - Trojan.
Bredolab (NAV) - W32/Suspicious_Gen2.
CLGYT (Norman) - Backdoor.
Win32. Bredolab. a [AVP] (FSecure) - TROJ_AGENT.
VVWB (TrendMicro) - Trojan.
Agent. MYIH (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей