Backdoor.Win32.Agent.ich

Trojan ten zapewnia zdalnemu szkodliwemu u偶ytkownikowi dost臋p do zaatakowanej maszyny. Ma posta膰 pliku PE EXE o rozmiarze 48640 bajt贸w (kompresja UPX, rozmiar pliku po rozpakowaniu - oko艂o 360KB).

Instalacja

Trojan wypakowuje ze swojego cia艂a nast臋puj膮cy plik:

%System%aspimgr.exe

Plik ma rozmiar 73728 bajt贸w. Kaspersky Anti-Virus nie wykrywa tego pliku jako szkodliwy.

Oryginalny plik jest nast臋pnie usuwany.

Backdoor tworzy us艂ug臋 o nazwie "Microsoft ASPI Manager", kt贸ra zapewnia uruchomienie pliku wykonywalnego backdoora wraz z ka偶dym restartem zaatakowanej maszyny.

Funkcje szkodnika

Na zaatakowanej maszynie na porcie TCP nr 80 trojan uruchamia serwer proxy HTTP. Nast臋pnie wysy艂a powiadomienie, 偶e maszyna zosta艂a zainfekowana na nast臋puj膮ce adresy:

66.199.241.98
82.103.140.75
203.117.175.124
72.21.63.114
66.232.102.169
66.96.196.53

W tym celu wysy艂a 偶膮dania HTTP. Zainfekowana maszyna staje si臋 cz臋艣ci膮 sieci komputer贸w zombie i mo偶e by膰 wykorzystywana do rozsy艂ania spamu lub przeprowadzania atak贸w DoS.

Backdoor tworzy nast臋puj膮ce pliki dziennika:

%WinDir%ws386.ini
%WinDir%db32.txt
%WinDir%s32.txt
%WinDir%f32.txt

Szkodnik tworzy nast臋puj膮cy klucz rejestru:

[HKLMSOFTWAREMicrosoftSft]

i zapisuje do tego klucza swoj膮 konfiguracj臋.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Usu艅 Mened偶er zada艅 w celu zako艅czenia szkodliwego procesu
  2. Usu艅 nast臋puj膮cy klucz rejestru:

    [HKLMSOFTWAREMicrosoftSft]

  3. Usu艅 us艂ug臋 "Microsoft ASPI Manager"
  4. Usu艅 nast臋puj膮ce us艂ugi:
    %WinDir%ws386.ini
    %WinDir%db32.txt
    %WinDir%s32.txt
    %WinDir%f32.txt
    %System%aspimgr.exe
    
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).