Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Bredavi.bwq

Backdoor.Win32.Bredavi.bwq

Время детектирования 09 фев 2010 19:31 MSK
Время выпуска обновления 09 фев 2010 23:48 MSK
Описание опубликовано 22 мар 2011 13:04 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 25601 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "foso.lvo": 

%System%\foso.lvo
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра: 
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe foso.lvo hqqwhbp"


Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра: 

[HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level" = "1"
"AccessVBOM" = "1"
И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца. Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем: 
20918909837cafb927
Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код: 
svchost.exe
Троянец отправляет запрос по следующему адресу: 
http://syste***s.net/pakpak/bb.php
На момент создания описания ссылка не работала. В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра: 
[HKCR\idid]


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы: 
    %System%\foso.lvo
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?): 
    %Temporary Internet Files%
  4. Удалить ключ системного реестра (как работать с реестром?): 
    [HKCR\idid]
  5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра (как работать с реестром?): 
    [HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level"
"AccessVBOM"
  6. Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?): 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Bredavi.anx
Backdoor.Win32.Bredavi.azz
Backdoor.Win32.Bredavi.bug
Backdoor.Win32.Bredavi.byc
Backdoor.Win32.Bredavi.he
Backdoor.Win32.Bredavi.l

Другие названия

Backdoor.Win32.Bredavi.bwq («Лаборатория Касперского») также известен как:

  • Trojan: BackDoor-ELD (McAfee)
  • Mal/Sasfis-D (Sophos)
  • Trojan:Win32/Oficla.E (MS(OneCare))
  • Win32/Oficla.CI trojan (Nod32)
  • Trojan.Generic.2895811 (BitDef7)
  • Trojan.Oficla.VO (VirusBuster)
  • Win32:Trojan-gen (AVAST)
  • Trojan.Win32.Oficla (Ikarus)
  • BackDoor.Generic12.AIZJ (AVG)
  • BDS/Bredavi.bwq (AVIRA)
  • Trojan Horse (NAV)
  • W32/Smalldoor.LYPI (Norman)
  • Backdoor.Win32.Bredavi.bwq [AVP] (FSecure)
  • TROJ_SASFIS.SMA (TrendMicro)
  • Trojan.Win32.Sasfis.a (v) (Sunbelt)
  • Trojan.Oficla.VO (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск