Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Backdoor.Win32.Bredavi.byc

Backdoor.Win32.Bredavi.byc

Время детектирования	11 фев 2010 12:42 MSK
Время выпуска обновления	11 фев 2010 17:30 MSK
Описание опубликовано	26 янв 2012 17:46 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 26113 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "xxtr.lro":

%System%\xxtr.lro

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe xxtr.lro olxanj"

Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра:

[HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level" = "1"
"AccessVBOM" = "1"

И выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

3902263633e897d151

Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:

svchost.exe

Троянец отправляет запрос по следующему адресу:

http://****hostforyou.cn/onlyhotnews/bb.php

На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы. Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

[HKCR\idid]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
```
%System%\xxtr.lro
```
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Удалить ключ системного реестра (как работать с реестром?):
```
[HKCR\idid]
```
При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра (как работать с реестром?):
```
[HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level"
"AccessVBOM"
```
Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?):
```
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 3D4132868BD4C67E2094A01863376840
SHA1: 3DB204FDF13E1C146BA924906A2A4EE3510F2DE0

Печать

Закладки

Вредоносные программы

Троянские программы

Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие модификации

Backdoor.Win32.Bredavi.anx

Backdoor.Win32.Bredavi.azz

Backdoor.Win32.Bredavi.bug

Backdoor.Win32.Bredavi.bwq

Backdoor.Win32.Bredavi.he

Backdoor.Win32.Bredavi.l

Другие названия

Backdoor.Win32.Bredavi.byc («Лаборатория Касперского») также известен как:

Trojan: BackDoor-ELD (McAfee)
Troj/Oficla-Gen (Sophos)
Trojan:Win32/Oficla.E (MS(OneCare))
BackDoor.Siggen.11137 (DrWeb)
Win32/Oficla.AP trojan (Nod32)
Trojan.Generic.2994847 (BitDef7)
Trojan.Oficla.LC (VirusBuster)
Win32:Trojan-gen (AVAST)
Backdoor.Bredavi (Ikarus)
BackDoor.Generic12.AYWU (AVG)
TR/Oficla.E.164 (AVIRA)
Trojan.Sasfis (NAV)
W32/Suspicious_Gen2.PKAL (Norman)
Backdoor.Win32.Bredavi.byc [AVP] (FSecure)
TROJ_SASFIS.SMA (TrendMicro)
Trojan.Win32.Sasfis.a (v) (Sunbelt)
Trojan.Oficla.LC (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com