Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Backdoor.Win32.Agent.bdhm

Backdoor.Win32.Agent.bdhm

Время детектирования	15 дек 2010 23:58 MSK
Время выпуска обновления	16 дек 2010 05:10 MSK
Описание опубликовано	28 дек 2010 13:30 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является динамической библиотекой Windows (PE EXE-файл). Имеет размер 32768 байт. Написана на С++.

Деструктивная активность

После запуска вредонос, для контроля уникальности своего процесса в системе, создает уникальный идентификатор с именем "MsSyncronizationManager". Затем копирует свое тело под такими именами:

%System%\wuaucldt.exe
%Documents and Settings%\%Current User%\wuaucldt.exe

Проверяет наличие в системе уникального идентификатора с именем "MsArbiterManager". Если такого не существует – выполняет поиск процесса с именем "explorer.exe" и внедряет в его адресное пространство свой вредоносный код. Внедряемый код выполняет следующие деструктивные действия:

создает уникальный идентификатор с именем "MsArbiterManager";
отслеживает наличие уникального идентификатора с именем "MsSyncronizationManager". Как только идентификатор исчезает, что свидетельствует о завершении процесса бэкдора – запускает копию файла вредоноса на выполнение. Далее троянец, в бесконечном цикле с интервалом в 5 секунд, запускает системный файл:
```
%System%\svchost.exe
```
и внедряет в его адресное пространство свой вредоносный код. Инжектируемый код выполняет такой вредоносный функционал:
Устанавливает соединение со следующими хостами:
```
64.***.168:443
208.***.34:443
208.***.35:443
208.***.36:443
69.***.190:443
69.***.191:443
69.***.192:443
blac***tom.com:443
che***ash.com:443
ns***mer.com:443
n***amer.com:443
ang***quest.com:443
212.***.11:443
```
По защищенному каналу вредонос принимает зашифрованные данные, которые затем расшифровывает, сохраняет во временный каталог текущего пользователя под именем:
```
%Temp%\NS<rnd>.tmp
```
где rnd – порядковый номер временного файла. Затем запускает расшифрованный исполняемый файл на выполнение. Данный файл имеет размер 38056 байт и детектируется антивирусом Касперского как Trojan-Dropper.Win32.Agent.dnvu.
Отправляется GET-запрос на сервер злоумышленника
```
xx***Xx.com
```
после чего вредонос переходит в цикл ожидания команд. По команде злоумышленника троянец может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Также вредонос, в цикле, восстанавливает ключи автозагрузки копий своего исполняемого файла:
```
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"
```

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).

Удалить параметры в ключах системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%Documents and Settings%\%Current User%\wuaucldt.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"wuaucldt"="%System%\wuaucldt.exe"

Удалить файлы:

%Documents and Settings%\%Current User%\wuaucldt.exe
%System%\wuaucldt.exe
%Temp%\NS<rnd>.tmp

Выполнить перезагрузку.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие модификации

Backdoor.Win32.Agent.abgg

Backdoor.Win32.Agent.affe

Backdoor.Win32.Agent.amps

Backdoor.Win32.Agent.ampt

Backdoor.Win32.Agent.amrk

Backdoor.Win32.Agent.amru

Backdoor.Win32.Agent.aznj

Backdoor.Win32.Agent.b

Backdoor.Win32.Agent.bhyr

Backdoor.Win32.Agent.jm

Backdoor.Win32.Agent.lw

Backdoor.Win32.Agent.nj

Backdoor.Win32.Agent.px

Backdoor.Win32.Agent.rcw

Backdoor.Win32.Agent.rnq

Backdoor.Win32.Agent.wja

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей