RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Small.os
| Время детектирования | 28 май 2007 12:06 MSK |
| Время выпуска обновления | 11 окт 2007 12:03 MSK |
| Описание опубликовано | 28 май 2007 12:06 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, открывающая злоумышленнику удаленный доступ к ресурсам компьютера. Является приложением Windows (PE EXE-файл). Имеет размер 7680 байт.
Инсталляция
При установке бэкдор извлекает из своего тела следующий файл размером 6144 байта:
%System%\perfc000.dat
Для автоматического запуска при новом старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "%System%\perfc000.dat"
Деструктивная активность
После запуска троянец регистрируется на сервере hq-pharma.org и отправляет туда информацию о зараженной операционной системе.
С указанного сервера вредоносная программа получает интернет-ссылки для загрузки файлов на компьютер пользователя.
После успешной закачки файлов и их запуска на исполнение бэкдор удаляет свой исполняемый файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс бэкдора.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить следующий параметр из ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "%System%\perfc000.dat"
- Удалить файл:
%System%\perfc000.dat
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan:
Generic BackDoor!bkr (McAfee) - Mal/EncPk-BB (Sophos)
- W32/MalwareS.
AIPT (FPROT) - TrojanDownloader:
Win32/Eldycow. gen!A (MS(OneCare)) - Trojan.
Proxy. 1739 (DrWeb) - Win32/Kryptik.
DRB trojan (Nod32) - Gen:
Trojan. Heur. GM. D044810000 (BitDef7) - Backdoor.
Small!Z1w3vgDSoTI (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan-Downloader.
Win32. Small (Ikarus) - BackDoor.
Generic12. MQH (AVG) - TR/Crypt.
XPACK. Gen (AVIRA) - Trojan.
Perfcoo (NAV) - W32/Smalldoor.
KJDB (Norman) - Packer.
Win32. Agent. bk [Suspicious] (Rising) - Backdoor.
Win32. Small. os [AVP] (FSecure) - TROJ_VIRANTIX.
BF (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - Backdoor.
Small!Z1w3vgDSoTI (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей