Backdoor.RA

Jest to typowe narz臋dzie zdalnej administracji typu klient-serwer umo偶liwiaj膮ce 艂膮czenie si臋 z komputerami i zarz膮dzanie ich zasobami w czasie rzeczywistym. Narz臋dzie posiada nazw臋 "Remote-Anything" i zosta艂o stworzone przez firm臋 TWD Industries (http://www.twd-industries.com).

Program jest wykrywany i klasyfikowany jako backdoor, poniewa偶 jego dzia艂anie w stu procentach zgodne jest z zachowaniem szkodnik贸w tego typu:

  • ukrywanie instalacji w systemie;
  • ukrywanie swojej aktywno艣ci;
  • umo偶liwianie zdalnemu u偶ytkownikowi zarz膮dzania systemem.

Cz臋艣膰 serwerowa programu ukrywa si臋 w systemie i jest niewidoczna dla przeci臋tnego u偶ytkownika, w przeciwie艅stwie do innych narz臋dzi zdalnej administracji, kt贸re:

  • posiadaj膮 standardowe procedury pozwalaj膮ce na ich instalacj臋 oraz deinstalacj臋;
  • wyposa偶one s膮 w interfejs u偶ytkownika (przyk艂adowo w postaci ikony znajduj膮cej si臋 w zasobniku systemowym).

Serwer

Po uruchomieniu cz臋艣膰 serwerowa bez wy艣wietlania 偶adnych komunikat贸w kopiuje si臋 do folderu Windows z nazw膮 SLAVE.EXE i tworzy dla tej kopii klucz w sekcji auto-run rejestru systemowego:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices] "RA Server"="C:\WINDOWS\Slave.exe"

W rezultacie cz臋艣膰 serwerowa uruchamia si臋 wraz z ka偶dym startem systemu Windows bez informowania u偶ytkownika.

Cz臋艣膰 kliencka

Przy u偶yciu cz臋艣ci klienckiej u偶ytkownik mo偶e 艂膮czy膰 si臋 z zainfekowanym komputerem (na kt贸rym zainstalowana jest cz臋艣膰 serwerowa) i zarz膮dza膰 jego zasobami: ogl膮da膰 zawarto艣膰 pulpitu w czasie rzeczywistym, wysy艂a膰 komendy przy pomocy klawiatury oraz myszy, uzyskiwa膰 dost臋p do systemu plik贸w, restartowa膰 lub zamyka膰 komputer.

Usuwanie serwera

Aby pozby膰 si臋 cz臋艣ci serwerowej backdoora z systemu nale偶y uruchomi膰 program Kaspersky Anti-Virus i zezwoli膰 mu usuni臋cie pliku serwera. Ponadto nale偶y samodzielnie usun膮膰 opisany powy偶ej klucz rejestru systemowego.

Mo偶liwe jest r贸wnie偶 samodzielne usuni臋cie pliku SLAVE.EXE tworzonego przez backdoora w folderze Windows (po usuni臋ciu omawianego powy偶ej klucza rejestru systemowego i zrestartowaniu komputera).

Ponadto Firma TWD udost臋pnia na swojej stronie WWW narz臋dzie pozwalaj膮ce na deinstalacj臋 cz臋艣ci serwerowej backdoora.

Informacje dodatkowe

Pocz膮wszy od wersji 3.5.11 programu "Remote-Anything" firma TWD Industries wprowadzi艂a do niego nast臋puj膮ce zmiany:

  • cz臋艣膰 serwerowa informuje u偶ytkownika o instalacji w systemie;
  • podczas pracy cz臋艣膰 serwerowa wy艣wietla ikon臋 w zasobniku systemowym;
  • dodano sk艂adnik umo偶liwiaj膮cy deinstalacj臋 programu.

Z uwagi na powy偶sze zmiany wersja 3.5.11 (oraz nowsze) nie jest wykrywana przez programy antywirusowe jako backdoor.