Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Small.mg

Backdoor.Win32.Small.mg

Время детектирования 16 дек 2006 19:51 MSK
Время выпуска обновления 16 дек 2006 19:51 MSK
Описание опубликовано 26 май 2011 17:43 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 5679 байт. Упакована UPX. Распакованный размер – около 11 КБ. Написана на C++.

Инсталляция

После запуска бэкдор копирует свое тело в файл: 

%System%\DKING!.exe
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра: 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ConsoleDevil" = "%System%\DKING!.exe"


Деструктивная активность

После запуска бэкдор получает путь к исполняемому файлу браузера, установленного в системе по умолчанию, считывая значение ключа системного реестра: 

[HKCR\http\shell\open\command]
"(Default)"
Затем процесс браузера запускается, и в его адресное пространство внедряется исполняемый код, реализующий описанный ниже функционал. При этом в случае возникновения ошибки, рассматриваемый вредоносный код будет внедрен в адресное пространство процесса "EXPLORER.EXE". Бэкдор устанавливает соединение с хостом: 
9203.***p.cc
При этом злоумышленнику отправляется имя зараженного компьютера и имя пользователя. Далее по команде злоумышленника бэкдор может выполнять следующие действия:
  • запускать на зараженном компьютере удаленный командный терминал;
  • загружать на зараженный компьютер файлы;
  • запускать и завершать процессы.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить ключ системного реестра (как работать с реестром?): 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ConsoleDevil" = "%System%\DKING!.exe"
  3. Удалить файл: 
    %System%\DKING!.exe
  4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Small.cz
Backdoor.Win32.Small.eo
Backdoor.Win32.Small.fp
Backdoor.Win32.Small.gzp
Backdoor.Win32.Small.kaj
Backdoor.Win32.Small.kak
Backdoor.Win32.Small.os
Backdoor.Win32.Small.v
Backdoor.Win32.Small.x

Другие названия

Backdoor.Win32.Small.mg («Лаборатория Касперского») также известен как:

  • Trojan: Generic Malware.dq (McAfee)
  • Mal/Generic-L (Sophos)
  • Heuristic.WinPE-Statistical (Panda)
  • W32/Injector.A.gen!Eldorado (FPROT)
  • Backdoor:Win32/Small (MS(OneCare))
  • BackDoor.Chaos (DrWeb)
  • Win32/Small.MG trojan (Nod32)
  • Backdoor.Small.cp (BitDef7)
  • Packed/eXPressor (VirusBuster)
  • Win32:Small-APV [Trj] (AVAST)
  • Trojan-Downloader.Win32.Small (Ikarus)
  • BackDoor.Generic3.CKI (AVG)
  • TR/Crypt.XPACK.Gen (AVIRA)
  • Hupigon.gen83 (Norman)
  • Backdoor.Win32.Agent.cae (Rising)
  • Backdoor.Win32.Agent.cae [AVP] (FSecure)
  • Trojan.Win32.Generic!SB.0 (Sunbelt)
  • Packed/eXPressor (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск