B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Backdoor.Win32.VanBot.bk

Trojan ten mo偶e zosta膰 wykorzystany w celu zdalnej administracji zaatakowanego komputera. Pozwala on szkodliwemu u偶ytkownikowi na wykonywanie operacji za po艣rednictwem IRC. Ma posta膰 pliku PE EXE o rozmiarze 207 872 bajt贸w.

Instalacja

Podczas instalowania backdoor kopiuje sw贸j plik wykonywalny do foldera systemu Windows: 

%System%explorewin.exe

Plik, kt贸ry zosta艂 pierwotnie uruchomiony, zostanie nast臋pnie usuni臋ty.

W celu zapewnienia uruchamiania si臋 wraz z ka偶dym startem systemu Windows na zaatakowanym komputerze, backoor dodaje nast臋puj膮cy odno艣nik do swojego pliku wykonywalnego w rejestrze systemu:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Microsoft Windows Explorer" = "%System%explorewin.exe"

Funkcje szkodnika

Backdoor zako艅czy procesy, je艣li g艂贸wny proces windows zawiera jeden z poni偶szych ci膮g贸w: 

OLLYDBG
File Monitor
Registry Monitor

Backdoor b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 z serwerem IRC zdalnego szkodliwego u偶ytkownika za po艣rednictwem nast臋puj膮cych stron, kt贸re b臋d膮 przekierowywa膰 do serwera: 

lol.godhatesfags.com:1863
is.wayne.brady.gonna.have.to.chokeabitch.us:8080
x.anti-viral.us:8080
x.rofflewaffles.us:8080

Je艣li uda si臋 ustanowi膰 po艂膮czenie, konto u偶ytkownika zostanie zarejestrowane na serwerze IRC z nazw膮 zawieraj膮c膮 informacje o zainfekowanym systemie.

Poprzez wysy艂anie backdoorowi polece艅 za po艣rednictwem IRC, zdalny szkodliwy u偶ytkownik mo偶e:

  • skanowa膰 lokaln膮 sie膰 komputer贸w, kt贸re s膮 podatne na luk臋 w zabezpieczeniach us艂ugi Serwer powoduj膮c膮 przepe艂nienie buforu, kt贸ra zosta艂a usuni臋ta w Biuletynie Zabezpiecze艅 firmy Microsoft MS06-040 (szczeg贸艂y dost臋pne s膮 w tym miejscu);
  • rozprzestrzenia膰 backdoora na inne komputery w lokalnej sieci, kt贸re posiadaj膮 luk臋 MS06-040;
  • pobiera膰 pliki na zaatakowany komputer z odno艣nika wyszczeg贸lnionego przez zdalnego szkodliwego u偶ytkownika oraz uruchamia膰 te pliki w celu wykonania;
  • tworzy膰 serwer proxy SOCKS4 na wyszczeg贸lnionym porcie TCP;
  • tworzy膰 serwer proxy HTTP na wyszczeg贸lnionym porcie TCP;
  • uruchamia膰 serwer FTP na zaatakowanym komputerze; poprzez po艂膮czenie si臋 z tym serwerem zdalny szkodliwy u偶ytkownik mo偶e zdoby膰 dost臋p do plik贸w na dysku twardym.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Uruchom komputer w trybie awaryjnym (podczas sekwencji startowej nale偶y wcisn膮膰 i przytrzyma膰 klawisz F8, a nast臋pnie wybra膰 "tryb awaryjny" z menu tekstowego, kt贸re pojawi si臋 na ekranie)
  2. Usu艅 nast臋puj膮cy plik: 
    %System%explorewin.exe
  3. Usu艅 nast臋puj膮cy parametr klucza rejestru:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "Microsoft Windows Explorer" = "%System%explorewin.exe"

  4. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).

W celu usuni臋cia backdoora mo偶esz r贸wnie偶 u偶y膰 darmowe narz臋dzie firmy Kaspersky Lab, klwk.com. Instrukcje dotycz膮ce u偶ycia klwk.com mo偶na znale藕膰 w tym miejscu.


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl