Backdoor.Win32.Kbot.al

Backdoor ten zapewnia zdalnemu szkodliwemu u偶ytkownikowi dost臋p do zaatakowanej maszyny. Ma posta膰 pliku PE EXE o rozmiarze 12787 bajt贸w.

Instalacja

Po uruchomieniu backdoor kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%mssrv32.exe

Nast臋pnie backdoor tworzy us艂ug臋 o nazwie "Microsoft security update service", kt贸ra automatycznie uruchamia plik wykonywalny backdoora wraz z ka偶dym restartem systemu. Tworzony jest nast臋puj膮cy klucz rejestru:

[HKLMSYSTEMCurrentControlSetServicesmsupdate]

Funkcje szkodnika

Po uruchomieniu backdoor wstrzykuje sw贸j kod do procesu "svchost.exe". To powoduje, 偶e backdoor rejestruje si臋 na stronie zdalnego szkodliwego u偶ytkownika poprzez otwarcie nast臋puj膮cego adresu URL:

http://84.252.***.***/_rus/stat.php

Nast臋pnie backdoor uzyskuje adres hosta z Internetu i przeprowadza na niego ataki DDoS. Typy atak贸w zosta艂y wymienione poni偶ej:

SYN Flood 
ICMP Flood 
UDP Flood 

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 oryginalny plik backdoora (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesmsupdate]

  4. Usu艅 nast臋puj膮cy plik:
    %System%mssrv32.exe
    
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).