Backdoor.Win32.Rbot.bnb
Podczas instalowania backdoor uruchamia proces svchost.exe, zatrzymuje go, wstrzykuje kod pobrany z pliku wykonywalnego trojana do przestrzeni adresowej procesu i przekazuje kontrol臋 procesowi. Nast臋pnie backdoor ko艅czy dzia艂anie.
Kod wstrzykni臋ty do procesu svchost.exe mo偶e by膰 zarz膮dany poprzez IRC. Kod ten:
- zapewnia zdalnemu z艂o艣liwemu u偶ytkownikowi pe艂ny dost臋p do plik贸w na dysku twardym u偶ytkownika
- umo偶liwia pobieranie plik贸w na komputer ofiary i uruchamianie ich
- pozwala na wysy艂anie plik贸w u偶ytkownika zdalnemu z艂o艣liwemu u偶ytkownikowi
- otwiera adresy URL bez wiedzy czy zgody u偶ytkownika
- umo偶liwia przeprowadzanie atak贸w HTTP, SYN, UDP oraz ICMP Flood na innych komputerach w sieci
- uruchamia SMTP proxy (kt贸ry mo偶e zosta膰 wykorzystany przez zdalnego z艂o艣liwego u偶ytkownika do wysy艂ania spamu z komputera ofiary)
- uruchamia na komputerze ofiary HTTP proxy
- wykonuje zrzuty ekranu z pulpitu u偶ytkownika i wysy艂a je do zdalnego z艂o艣liwego u偶ytkownika
- umo偶liwia zako艅czenie aktywnych proces贸w w systemie
- umo偶liwia wykonanie ka偶dego polecenia na komputerze ofiary
Backdoor nas艂uchuje w oczekiwaniu na po艂膮czenia przychodz膮ce na portach TCP 21, 1362, 2400 oraz 8877.
Oprogramowanie Kaspersky Anti-Virus wykrywa ten plik jako
W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:
- Usun膮膰 oryginalny plik trojana (jego lokalizacja zale偶y od tego, w jaki spos贸b trojan przenikn膮艂 do maszyny ofiary).
- U偶y膰 Mened偶era zada艅 w celu zako艅czenia wszystkich zainfekowanych proces贸w svchost.exe.
- Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z darmowej wersji testowej oprogramowania Kaspersky Anti-Virus).