B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Backdoor.Win32.Agent.lw

Trojan zapewnia zdalnemu z艂o艣liwemu u偶ytkownikowi dost臋p do komputera ofiary. Ma posta膰 pliku PE EXE. Rozmiar komponent贸w backdoora mo偶e si臋 r贸偶ni膰 (od 8 KB do 80 KB).

Instalacja

Po uruchomieniu backdoor kopiuje sw贸j plik wykonywalny do foldera WindowsSystem: 

%System%ssclie.exe

Nast臋pnie backdoor wypakowuje ze swojego kodu plik stu.dll: 

%System%stu.dll

Plik DLL jest nast臋pnie 艂adowany do przestrzeni adresowej svchost.exe a oryginalny plik Trojana jest usuwany.

Trojan tworzy w rejestrze systemowym nast臋puj膮cy klucz zapewniaj膮cy mu uruchamianie wraz z ka偶dym startem systemu Windows:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"system" = "%System%ssclie.exe"

Funkcje szkodnika

Backdoor powsta艂 przy u偶yciu generatora o nazwie editor.exe (rozmiar pliku wykonywalnego: 24 576 bajt贸w).

W oknie g艂贸wnym generatora u偶ytkownik mo偶e wprowadzi膰 adres IP. Wygenerowany szkodnik b臋dzie oczekiwa艂 na zdalne polecenia nap艂ywaj膮ce z podanego adresu IP na okre艣lonym porcie. U偶ytkownik mo偶e tak偶e zdefiniowa膰 klucze rejestru oraz ich warto艣ci, kt贸re b臋d膮 wykorzystywane przez wygenerowanego szkodnika.

Po klikni臋ciu przycisku w oknie generatora, program skopiuje plik server.exe do swojego bie偶膮cego foldera z nazw膮 setup.exe i zapisze do niego w zaszyfrowanej postaci dane zdefiniowane przez u偶ytkownika.

Po uruchomieniu wygenerowanego pliku na komputerze ofiary, szkodnik zostanie zainstalowany i podejmie pr贸b臋 po艂膮czenia si臋 z adresem zdefiniowanym w generatorze.

Backdoor jest zarz膮dzany za po艣rednictwem specjalnego programu. Jego interfejs wygl膮da nast臋puj膮co:

Zdalny szkodliwy u偶ytkownik mo偶e wykorzysta膰 backdoora do:

  • uzyskania pe艂nego dost臋pu do plik贸w zapisanych na dyskach zainfekowanego komputera
  • pobierania plik贸w na zainfekowanym komputerze
  • uruchamiania program贸w na zainfekowanym komputerze
  • przegl膮dania listy aktywnych proces贸w
  • wykonywania dowolnych polece艅 w obr臋bie zainfekowanego komputera

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  1. Przy pomocy Mened偶era zada艅 zako艅czy膰 proces trojana
  2. Usun膮膰 z dysku nast臋puj膮ce pliki: 
    %System%ssclie.exe
%System%stu.dll
  3. Usun膮膰 nast臋puj膮ce warto艣ci rejestru:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "system" = "%System%ssclie.exe"

  4. Uaktualni膰 sygnatury zaro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl