RSS-каналы
Уровень опасности: 1
Backdoor.Win32.Bredolab.bvv
| Время детектирования | 20 янв 2010 19:26 MSK |
| Время выпуска обновления | 21 янв 2010 00:43 MSK |
| Описание опубликовано | 20 апр 2010 11:07 MSK |
Деструктивная активность
Технические детали
Вредоносная программа, по команде управляющего сервера скачивает на компьютер другое вредоносное программное обеспечение.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\system32\digiwet.dllДля автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл к значению "SecurityProviders" ключа автозапуска системного реестра:
Деструктивная активность
Программа соединяется с сервером
http://78.109.29.112.ruНа который отправляет запрос следующего вида(некоторые данные в запросе могут меняться):
\Temp\wpv<rnd>.exe и запускает.Далее программа отправляет второй запрос следующего вида(некоторые данные в запросе могут меняться):
guid=0&rnd=8520045&guid=&entity=1260187840:unique_start;1
260188029:unique_start;1260433697:unique_start;1260199741:unique_start
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Backdoor.
- Trojan-Downloader.
Win32. Injecter. ctg («Лаборатория Касперского») - Trojan:
Swizzor!bd (McAfee) - Mal/Bredo-B (Sophos)
- Generic Trojan (Panda)
- W32/Downldr2.
FWZB (FPROT) - TrojanDownloader:
Win32/Bredolab. B (MS(OneCare)) - Trojan.
DownLoad. 36249 (DrWeb) - Win32/TrojanDownloader.
Bredolab. AA trojan (Nod32) - Trojan.
Generic. 1812994 (BitDef7) - Trojan.
DL. Injecter. BCP (VirusBuster) - Win32:
Tiny-ACP [Drp] (AVAST) - Trojan.
Win32. Gearclop (Ikarus) - Downloader.
Generic8. ALWF (AVG) - TR/Dropper.
Gen (AVIRA) - Packed.
Generic. 206 (NAV) - Cutwail.
N (Norman) - Trojan.
Win32. Nodef. jse (Rising) - Trojan-Downloader.
Win32. Injecter. cst [AVP] (FSecure) - TROJ_GEARCLOP.
A (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - Trojan.
DL. Injecter. BCP (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей