Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Agent.px

Backdoor.Win32.Agent.px

Время детектирования 03 янв 2006 19:42 MSK
Время выпуска обновления 03 янв 2006 21:42 MSK
Описание опубликовано 27 фев 2006 21:30 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Написана на языке Delphi, упакована Aspack. Является приложением Windows (PE EXE-файл). Размер файла — 418304 байт.

Инсталляция

После запуска бэкдор копирует себя в корневой каталог Windows с именем G_Server.exe:

%Windir%\G_Server.exe

Также в корневом каталоге Windows бэкдор создает следующие файлы:

%Windir%\G_ServerKey.dll (38912 байт)
%Windir%\G_Server.dll (372736 байт)
%Windir%\G_Server_HOOk.dll (61440 байт)

Причем файлы G_Server.exe, G_ServerKey.dll и G_Server.dll создаются с атрибутами скрытые (hidden), системные (system) и только для чтения (read only).

G_ServerKey.dll детектируется Антивирусом Касперского как Backdoor.Win32.Hupigon.mk, а G_Server_HOOk.dll и G_Server.dll — как Backdoor.Win32.Hupigon.lk.

Бэкдор регистрирует в реестре службу GrayPigeonServer в режиме автозапуска (параметр Start = "dword:00000002").

Для этого в системном реестре создаются следующие ключи:

Для Windows NT, 2000, XP и Server 2003:

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer]
 "DisplayName"="Gray_Pigeon_Server"
 "ErrorControl"="dword:00000000"
 "ImagePath"="%windir%\G_Server.exe"
 "ObjectName"="LocalSystem"
 "Start"="dword:00000002"
 "Type"="dword:00000272"

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer\Enum]
 "0"="Root\LEGACY_GRAYPIGEONSERVER\0000"
 "Count"="dword:00000001"
 "NextInstance"="dword:00000001"

[HKLM\System\CurrentControlSet\Services\GrayPigeonServer\]
 "Security"="01 00 14 80 90 00 00 00 9c 00 00 00 14..."

[HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER]
 "NextInstance"="dword:00000001"

[HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER\0000]
 "Class"="LegacyDriver"
 "ClassGUID"="{8EECC055D-057F-11D1-A537-0000F8753ED1}"
 "ConfigFlags"="dword:00000000"
 "DeviceDesc"="Gray_Pigeon_Server"
 "Legacy"="dword:00000001"
 "Service"="GrayPigeonServer"

Для Windows 98, Me:

[HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
 "G_Server.exe"="%windir%\G_Server.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "G_Server.exe"="%windir%\G_Server.exe"


Деструктивная активность

Троянец использует rootkit-техники для скрытия своих процессов в системе. Внося изменения в память активных процессов, заставляет их вызывать свои вредоносные функций. При этом нельзя пронаблюдать исполняемый троянский код в списке исполняемых задач.

После запуска троянца стартует уже проинсталлированная служба GrayPigeonServer. Далее он инфицирует процесс IEXPLORER.EXE (открывает его со всеми возможными правами и производит в его адресное пространство запись своих данных, тем самым подключая функции из библиотек: G_Server_HOOk.dll, G_ServerKey.dll). В свою очередь уже IEXPLORER.EXE заражает все остальные активные процессы в системе. Сам процесс G_Server.exe завершает свое выполнение и удаляет cвою исходную копию.

Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:

Gpigeon5_Shared_2005
Gpigeon5_Shared_HIDE (для библиотеки G_Server_HOOk.dll)

IEXPLORER.EXE пытается установить соединение с vip.***gezi.com:8004 и получает предписания для дальнейшей загрузки и открытия различных портов с целью дать доступ удаленному пользователю к зараженной машине.


Рекомендации по удалению

  • Перезагрузить Windows в безопасный режим (при загрузке Windows нажать F8 и выбрать Safe Mode).
  • Удалить следующие файлы: 
    %Windir%\G_Server.exe
%Windir%\G_ServerKey.dll
%Windir%\G_Server.dll
%Windir%\G_Server_HOOk.dll
  • Удалить следующие объекты в реестре:
    [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
    [HKLM\SYSTEM\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER]
  • Произвести полную проверку компьютера Антивирусом Касперского (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Agent.abgg
Backdoor.Win32.Agent.affe
Backdoor.Win32.Agent.amps
Backdoor.Win32.Agent.ampt
Backdoor.Win32.Agent.amrk
Backdoor.Win32.Agent.amru
Backdoor.Win32.Agent.aznj
Backdoor.Win32.Agent.b
Backdoor.Win32.Agent.bdhm
Backdoor.Win32.Agent.bhyr
Backdoor.Win32.Agent.jm
Backdoor.Win32.Agent.lw
Backdoor.Win32.Agent.nj
Backdoor.Win32.Agent.rcw
Backdoor.Win32.Agent.rnq
Backdoor.Win32.Agent.wja

Другие названия

Backdoor.Win32.Agent.px («Лаборатория Касперского») также известен как:

  • Backdoor.Win32.Hupigon.nh («Лаборатория Касперского»)
  • Virus: W32/Shellot.worm.gen (McAfee)
  • Troj/Shellot-D (Sophos)
  • W32/Shellot-Gen (Sophos)
  • Heuristic.WinPE-Statistical (Panda)
  • Trj/Spamer.C (Panda)
  • W32/BackdoorX.QBG (FPROT)
  • W32/BackdoorX.GGY (FPROT)
  • W32/Backdoor.ION (FPROT)
  • W32/Backdoor.IKF (FPROT)
  • Backdoor:Win32/Agent (MS(OneCare))
  • BackDoor.Shellbot (DrWeb)
  • Trojan.DownLoader.5067 (DrWeb)
  • Win32/Agent.PX trojan (Nod32)
  • Backdoor.Agent.PX (BitDef7)
  • Backdoor.Agent.HPQL (VirusBuster)
  • Backdoor.Agent.bxh (VirusBuster)
  • Backdoor.Agent.hcp (VirusBuster)
  • Win32:Trojan-gen (AVAST)
  • Win32:Trojano-1320 [Trj] (AVAST)
  • Win32.SuspectCrc (Ikarus)
  • BackDoor.Agent.ALW (AVG)
  • Backdoor.Agent.doo (AVG)
  • BackDoor.Agent.OZ (AVG)
  • Backdoor.Agent.bqo (AVG)
  • BDS/Agent.IW (AVIRA)
  • BDS/Agent.px.6 (AVIRA)
  • Backdoor.Shellbot (NAV)
  • W32/Malware.AAE (Norman)
  • W32/Agent.VGF (Norman)
  • W32/Smalldoor.GUN (Norman)
  • W32/Agent.LDJ (Norman)
  • W32/Shellot.worm.gen (NAI)
  • BKDR_Generic.Z (PCCIL)
  • BKDR_Generic (PCCIL)
  • BackDoor.Agent.ALM (Rising)
  • Backdoor.Win32.Agent.px [AVP] (FSecure)
  • BKDR_Generic (TrendMicro)
  • Trojan.Agent.ADY (Sunbelt)
  • Trojan.Win32.Generic!BT (Sunbelt)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск