Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Kbot.al

Backdoor.Win32.Kbot.al

Время детектирования 19 ноя 2007 18:50 MSK
Время выпуска обновления 19 ноя 2007 18:50 MSK
Описание опубликовано 16 май 2008 13:26 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 12787 байт.

Инсталляция

После запуска бэкдор копирует свой исполняемый файл в системный каталог Windows:

%System%\mssrv32.exe

После чего бэкдор создает службу с именем "Microsoft security update service", которая автоматически запускает исполняемый файл бэкдора при каждой последующей загрузке системы. При этом создается следующий ключ реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]

Деструктивная активность

При запуске бэкдор внедряет в процесс "svchost.exe" свой код, который выполняет следующие действия:

Регистрируется на сайте злоумышленников, открывая следующий URL:

http://84.252.***.***/_rus/stat.php

И получает адрес хоста в интернете, на который будут производиться DDOS атаки. Атаки могут быть следующих типов:

  • SYN Flood
  • ICMP Flood
  • UDP Flood

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить вредоносный процесс.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    [HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
  4. Удалить файл:
    %System%\mssrv32.exe
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Kbot.aoz

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск