| Время детектирования | 27 авг 2009 16:56 MSK |
| Время выпуска обновления | 27 авг 2009 21:26 MSK |
| Описание опубликовано | 02 ноя 2009 15:07 MSK |
Троянская программа. Имеет размер 65033 байта, написана на C++, упакована с помощью UPX.
При запуске вредоносная программа копирует свой исполняемый файл в системный каталог Windows:
%System%\explore.exeДля автоматического запуска при каждом следующем старте системы программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
При запуске программа периодически соединяется с одним из следующих командных серверов:
http://mai***un.com/tasker/ http://skdm***mioidf.com/tasker/ http://nort***t65ijnm235n.com/tasker/И получает от него электронные адреса сайтов, с которыми программе следует соединиться. Таким образом, по команде управляющего сервера программа отправляет HTTP Get запрос на указанный сервер. В результате увеличивается статистика посещаемости сайта.
<status>- статус работы программы, может принимать следующие значения:
knock run ok– программа запустилась
knock kill initfail– программа не смогла корректно начать работу
knock kill cantkill– программа не смогла завершить процесс “explore.exe”
knock copy fail- программа не смогла скопировать себя в системную директорию windows
knock reg fail– программа не смогла создать ключ автозагрузки в реестре
knock start ok– программа успешно закончила установку и готова принимать команды от сервера
“update”– по этой команде программа скачивает новую программу, запускает ее, а себя удаляет. Таким образом, происходит обновление вредоносной программы на более новую версию. Электронный адрес, с которого должно произойти обновление, вредоносная программа получает вместе с командой update.
“rich”– по этой команде программа выполняет новый GET запрос на web-страницу, адрес которой получен вместе с командой rich. Таким образом, увеличивается статистика посещений полученной web-страницы.
“setTimerInterval”– по этой команде изменяется период обращения вредоносной программы к управляющему серверу.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%System%\explore.exe
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.