Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Agent.lw

Backdoor.Win32.Agent.lw

Время детектирования 31 окт 2006 13:42 MSK
Время выпуска обновления 31 окт 2006 13:42 MSK
Описание опубликовано 13 ноя 2006 17:54 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удалённый доступ к зараженной машине. Является приложением Windows (PE EXE-файл). Размер компонентов бекдора варьируется от 8 до 80 КБ.

Инсталляция

При запуске бекдор копирует свой исполняемый файл в системную папку Windows:

%System%\ssclie.exe

Далее бекдор извлекает из своего тела библиотеку DLL с именем:

%System%\stu.dll

После чего происходит загрузка созданной библиотеки в адресное пространство процесса svchost.exe, после чего оригинальный файл троянца удаляется.

Для автоматического запуска при каждом следующем старте Windows бекдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "system"="%System%\ssclie.exe"

Деструктивная активность

Данный бекдор создается с помощью программы генератора editor.exe (размер — 24576 байт). Интерфейс программы выглядит следующим образом:

В главном окне генератора пользователь может ввести IP-адрес, с которого бекдор будет принимать команды, и порт. Также пользователь может ввести параметр ключа автозагрузки системного реестра и значение, которое ему следует присвоить.

При нажатии на правую кнопку генератор копирует файл server.exe в своей рабочем папке как setup.exe и дописывает в конец введенные пользователем данные в зашифрованном виде.

При запуске сгенерированного файла на компьютере жертвы он выполняет процедуру инсталляции после чего пытается соединиться с адресом, который был введен при генерации бекдора, с которого он будет принимать команды управления.

Управление производится с помощью специальной программы, интерфейс которой выглядит следующим образом:

С помощью данного бекдора злоумышленник может выполнять следующие действия на зараженном компьютере:

  • получать полный доступ к файлам на жестком диске пользователя;
  • загружать файлы на компьютер пользователя;
  • запускать программы на компьютере пользователя;
  • просматривать список процессов и выборочно завершать процессы;
  • выполнять любые команды на компьютере пользователя.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить следующие файлы:
    %System%\ssclie.exe
    %System%\stu.dll
  3. Удалить ссылку на исполняемый файл троянца из ключа автозагрузки системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
     "system"="%System%\ssclie.exe"
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Agent.abgg
Backdoor.Win32.Agent.affe
Backdoor.Win32.Agent.amps
Backdoor.Win32.Agent.ampt
Backdoor.Win32.Agent.amrk
Backdoor.Win32.Agent.amru
Backdoor.Win32.Agent.aznj
Backdoor.Win32.Agent.b
Backdoor.Win32.Agent.bdhm
Backdoor.Win32.Agent.bhyr
Backdoor.Win32.Agent.jm
Backdoor.Win32.Agent.nj
Backdoor.Win32.Agent.px
Backdoor.Win32.Agent.rcw
Backdoor.Win32.Agent.rnq
Backdoor.Win32.Agent.wja

Другие названия

Backdoor.Win32.Agent.lw («Лаборатория Касперского») также известен как:

  • Trojan: Generic BackDoor (McAfee)
  • Mal/Dropper-P (Sophos)
  • Mal/Behav-044 (Sophos)
  • Heuristic.WinPE-Statistical (Panda)
  • W32/Backdoor.QZC (FPROT)
  • W32/BackdoorX.APL (FPROT)
  • Backdoor:Win32/Agent (MS(OneCare))
  • Trojan:Win32/Trafog!rts (MS(OneCare))
  • BackDoor.Clie (DrWeb)
  • unknown NewHeur_PE virus (Nod32)
  • Backdoor.Agent.LW (BitDef7)
  • Backdoor.Generic.43503 (BitDef7)
  • Backdoor.Agent.QTL (VirusBuster)
  • Win32:Trojan-gen (AVAST)
  • Trojan-Dropper.Agent (Ikarus)
  • Win32.SuspectCrc (Ikarus)
  • Backdoor.Agent.CYA (AVG)
  • BackDoor.Agent.CWU (AVG)
  • TR/Spy.Gen (AVIRA)
  • BACKDOOR.Trojan (NAV)
  • W32/Agent.APUU (Norman)
  • W32/Agent.APUT (Norman)
  • Generic Backdoor (NAI)
  • BackDoor.Agent.HUW (Rising)
  • Backdoor.Win32.Agent.lw [AVP] (FSecure)
  • BehavesLike.Win32.Malware (v) (Sunbelt)
  • Trojan.Win32.Generic!BT (Sunbelt)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск