Backdoor.Win32.Papi.a

Jest to program oferuj膮cy zdalny dost臋p do zainfekowanego komputera. Ma posta膰 pliku PE EXE. Szkodnik jest instalowany przez innego trojana - Trojan-Dropper.Ichitaro.Tarodrop.a, kt贸ry infekuje komputery poprzez luk臋 w popularnym w Japonii pakiecie biurowym Ichitaro Office Suite.

Instalacja

Po uruchomieniu backdoor tworzy i uruchamia nast臋puj膮ce pliki

%System%capapi32.dll
%System%
etlib32.dll
%System%setups.bak

Pliki drugi i trzeci s膮 wykrywane przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Spy.Win32.Delf.pv.

Funkcje backdoora

Backdoor nawi膮zuje po艂膮czenie ze zdalnym serwerem poprzez port 8080 i oczekuje na polecenia agresora.

Backdoor obs艂uguje bardzo wiele polece艅 i daje zdalnemu agresorowi pe艂n膮 kontrol臋 nad zainfekowanym komputerem. Haker mo偶e uzyskiwa膰 informacje o systemie, pobiera膰 i uruchamia膰 w nim pliki, tworzy膰 i przenosi膰 katalogi, modyfikowa膰 rejestr systemowy, wy艂膮cza膰 aktywne procesy, wykonywa膰 zrzuty ekranu i wysy艂a膰 je przez Internet, zamyka膰 zainfekowany komputer i wiele wi臋cej.

Backdoor tworzy tak偶e niezainfekowany dokument programu Ichitaro o rozszerzeniu JTD. Jest nim zast臋powany plik, z kt贸rego backdoor zosta艂 pierwotnie uruchomiony.

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  • Usun膮膰 z dysku plik backdoora; mo偶e on znajdowa膰 si臋 w nast臋puj膮cej lokalizacji:
    %ProfilU偶ytkownika%Ustawienia lokalneTempahah.exe
    
  • Usun膮膰 z dysku nast臋puj膮ce pliki:
    %System%capapi32.dll
    %System%
    etlib32.dll
    %System%setups.bak
    

  • Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus)