Backdoor.Win32.Rbot.bnb

Trojan zapewnia zdalnemu z艂o艣liwemu u偶ytkownikowi dost臋p do komputera ofiary. Jest zarz膮dzany poprzez IRC. Szkodnik ma posta膰 pliku Windows PE EXE o rozmiarze 40 717 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 120 KB).

Instalacja

Podczas instalowania backdoor uruchamia proces svchost.exe, zatrzymuje go, wstrzykuje kod pobrany z pliku wykonywalnego trojana do przestrzeni adresowej procesu i przekazuje kontrol臋 procesowi. Nast臋pnie backdoor ko艅czy dzia艂anie.

Funkcje trojana

Kod wstrzykni臋ty do procesu svchost.exe mo偶e by膰 zarz膮dany poprzez IRC. Kod ten:

  • zapewnia zdalnemu z艂o艣liwemu u偶ytkownikowi pe艂ny dost臋p do plik贸w na dysku twardym u偶ytkownika
  • umo偶liwia pobieranie plik贸w na komputer ofiary i uruchamianie ich
  • pozwala na wysy艂anie plik贸w u偶ytkownika zdalnemu z艂o艣liwemu u偶ytkownikowi
  • otwiera adresy URL bez wiedzy czy zgody u偶ytkownika
  • umo偶liwia przeprowadzanie atak贸w HTTP, SYN, UDP oraz ICMP Flood na innych komputerach w sieci
  • uruchamia SMTP proxy (kt贸ry mo偶e zosta膰 wykorzystany przez zdalnego z艂o艣liwego u偶ytkownika do wysy艂ania spamu z komputera ofiary)
  • uruchamia na komputerze ofiary HTTP proxy
  • wykonuje zrzuty ekranu z pulpitu u偶ytkownika i wysy艂a je do zdalnego z艂o艣liwego u偶ytkownika
  • umo偶liwia zako艅czenie aktywnych proces贸w w systemie
  • umo偶liwia wykonanie ka偶dego polecenia na komputerze ofiary

Backdoor nas艂uchuje w oczekiwaniu na po艂膮czenia przychodz膮ce na portach TCP 21, 1362, 2400 oraz 8877.

Oprogramowanie Kaspersky Anti-Virus wykrywa ten plik jako Trojan-Downloader.Win32.Small.cqs.

Usuwanie trojana z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:

  1. Usun膮膰 oryginalny plik trojana (jego lokalizacja zale偶y od tego, w jaki spos贸b trojan przenikn膮艂 do maszyny ofiary).
  2. U偶y膰 Mened偶era zada艅 w celu zako艅czenia wszystkich zainfekowanych proces贸w svchost.exe.
  3. Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).