Backdoor.Win32.Agent.rcw

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 56320 байт. Написана на C++.

Инсталляция

После запуска бэкдор проверяет наличие в системном реестре ветви:

[HKLM\System\CurrentControlSet\Services\DNSTransaction]

Если данная ветвь существует, то бэкдор выполняет действия, описанные в разделе "Деструктивная активность". В противном случае выполняются следующие действия:

• тело бэкдора копируется в файл:

  %System%\chipset.exe

• В системе создается и запускается служба с именем "DNSTransaction", исполняемым файлом которой является созданная копия бэкдора.
• Для удаления оригинального файла бэкдора после завершения его работы запускается системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c del <полный путь к оригинальному файлу бэкдора> > nul

После этого бэкдор завершает свою работу.

Деструктивная активность

После запуска бэкдор устанавливает соединение с хостом:

hun***22.org

На хост отправляется строка, содержащая информацию о версии операционной системы зараженного компьютера.

После этого бэкдор переходит в цикл ожидания команд от злоумышленника. Реализована обработка следующих команд:

M2:, CC:

– организация DoS-атак на указанные злоумышленником сервера.

STOPATTACK

– завершение текущей итерации цикла обработки команд, переход к следующей команде.

UPDATA:

– загрузка из сети Интернет файла по переданной злоумышленником ссылке. Загруженный файл сохраняется в системе как

%Temp%\tmp.exe

и после успешной загрузки запускается на выполнение.

REMOVE

– удаление службы "DNSTransaction".

После успешной обработки очередной команды бэкдор отсылает злоумышленнику строку "OK". Интервал между итерациями цикла обработки команд составляет 5 секунд.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить ветвь системного реестра (как работать с реестром?):

   [HKLM\System\CurrentControlSet\Services\DNSTransaction]

2. Перезагрузить компьютер.
3. Удалить файлы:

   %System%\chipset.exe
   %Temp%\tmp.exe
   

4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).