Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияBackdoor.Win32.Bredavi.l

Backdoor.Win32.Bredavi.l

Время детектирования 17 сен 2009 06:06 MSK
Время выпуска обновления 17 сен 2009 10:08 MSK
Описание опубликовано 26 окт 2011 12:25 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Программа является приложением Windows (PE DLL-файл). Имеет размер 25600 байт. Написана на C++.

Инсталляция

Троянец копирует свое тело в системный каталог Windows под именем "tftp.nfo":

%System%\tftp.nfo

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe tftp.nfo beforegllav"

Деструктивная активность

Если на компьютере пользователя был установлен пакет приложений "Microsoft Office", то троянец устанавливает низкий уровень безопасности, записав следующие значения в ключ системного реестра: 

[HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level" = "1"
"AccessVBOM" = "1"
и выполняет макрос, с помощью которого запускает на выполнение оригинальное тело троянца.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

220345490583560db9

Далее троянец создает процесс с именем "svchost.exe" и внедряет в его адресное пространство свой вредоносный код:

svchost.exe

Троянец отправляет запрос по следующему адресу:

http://chipideil.net/mld/bb.php

На момент создания описания ссылка не работала.

В ответ получает файл конфигурации для дальнейшей своей работы.

Ссылки для загрузки других вредоносных файлов, полученные из файла конфигурации, троянец сохраняет в следующем ключе реестра:

[HKCR\idid]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы: 
    %System%\tftp.nfo
  3. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?): 
    %Temporary Internet Files%
  4. Удалить ключ системного реестра (как работать с реестром?): 
    [HKCR\idid]
  5. При необходимости восстановить значения параметров "Level" и "AccessVBOM" в ключе системного реестра (как работать с реестром?): 
    [HKCU\Software\Microsoft\Office\11.0\Word\Security]
"Level"
"AccessVBOM"
  6. Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?): 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: C06D2A310BD4C3BE2EB4C7E9A478D08B

SHA1: 5E4E5F7607ED95A2C92C121C2ADC9E72F0A85A7F



Печать
Bookmark and Share
Закладки
Троянские программы
Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.


Другие модификации
Backdoor.Win32.Bredavi.anx
Backdoor.Win32.Bredavi.azz
Backdoor.Win32.Bredavi.bug
Backdoor.Win32.Bredavi.bwq
Backdoor.Win32.Bredavi.byc
Backdoor.Win32.Bredavi.he

Другие названия

Backdoor.Win32.Bredavi.l («Лаборатория Касперского») также известен как:

  • Trojan-Downloader.Win32.Small.anhu («Лаборатория Касперского»)
  • Trojan: BackDoor-EHH (McAfee)
  • Troj/Oficla-Gen (Sophos)
  • Trojan.Downloader-80166 (ClamAV)
  • Trj/Downloader.MDW (Panda)
  • W32/Downldr2.GMCW (FPROT)
  • Trojan:Win32/Oficla.E (MS(OneCare))
  • Trojan.DownLoad.47175 (DrWeb)
  • Trojan.Generic.2426668 (BitDef7)
  • Trojan.DL.Small.CPCP (VirusBuster)
  • Trojan-Downloader.Win32.Small (Ikarus)
  • Downloader.Generic8.BRNZ (AVG)
  • W32/Suspicious_Gen2.TMND (Norman)
  • Trojan.DL.Win32.Undef.qhn (Rising)
  • Trojan-Downloader.Win32.Small.anhu [AVP] (FSecure)
  • TROJ_Generic.DIT (TrendMicro)
  • Trojan.Win32.Sasfis.a (v) (Sunbelt)
  • Trojan.DL.Small.CPCP (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск