Backdoor.RA
Program jest wykrywany i klasyfikowany jako backdoor, poniewa偶 jego dzia艂anie w stu procentach zgodne jest z zachowaniem szkodnik贸w tego typu:
- ukrywanie instalacji w systemie;
- ukrywanie swojej aktywno艣ci;
- umo偶liwianie zdalnemu u偶ytkownikowi zarz膮dzania systemem.
Cz臋艣膰 serwerowa programu ukrywa si臋 w systemie i jest niewidoczna dla przeci臋tnego u偶ytkownika, w przeciwie艅stwie do innych narz臋dzi zdalnej administracji, kt贸re:
- posiadaj膮 standardowe procedury pozwalaj膮ce na ich instalacj臋 oraz deinstalacj臋;
- wyposa偶one s膮 w interfejs u偶ytkownika (przyk艂adowo w postaci ikony znajduj膮cej si臋 w zasobniku systemowym).
Serwer
Po uruchomieniu cz臋艣膰 serwerowa bez wy艣wietlania 偶adnych komunikat贸w kopiuje si臋 do folderu Windows z nazw膮 SLAVE.EXE i tworzy dla tej kopii klucz w sekcji auto-run rejestru systemowego:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices] "RA Server"="C:\WINDOWS\Slave.exe"
W rezultacie cz臋艣膰 serwerowa uruchamia si臋 wraz z ka偶dym startem systemu Windows bez informowania u偶ytkownika.
Cz臋艣膰 kliencka
Przy u偶yciu cz臋艣ci klienckiej u偶ytkownik mo偶e 艂膮czy膰 si臋 z zainfekowanym komputerem (na kt贸rym zainstalowana jest cz臋艣膰 serwerowa) i zarz膮dza膰 jego zasobami: ogl膮da膰 zawarto艣膰 pulpitu w czasie rzeczywistym, wysy艂a膰 komendy przy pomocy klawiatury oraz myszy, uzyskiwa膰 dost臋p do systemu plik贸w, restartowa膰 lub zamyka膰 komputer.
Usuwanie serwera
Aby pozby膰 si臋 cz臋艣ci serwerowej backdoora z systemu nale偶y uruchomi膰 program Kaspersky Anti-Virus i zezwoli膰 mu usuni臋cie pliku serwera. Ponadto nale偶y samodzielnie usun膮膰 opisany powy偶ej klucz rejestru systemowego.
Mo偶liwe jest r贸wnie偶 samodzielne usuni臋cie pliku SLAVE.EXE tworzonego przez backdoora w folderze Windows (po usuni臋ciu omawianego powy偶ej klucza rejestru systemowego i zrestartowaniu komputera).
Ponadto Firma TWD udost臋pnia na swojej stronie WWW narz臋dzie pozwalaj膮ce na deinstalacj臋 cz臋艣ci serwerowej backdoora.
Informacje dodatkowe
Pocz膮wszy od wersji 3.5.11 programu "Remote-Anything" firma TWD Industries wprowadzi艂a do niego nast臋puj膮ce zmiany:
- cz臋艣膰 serwerowa informuje u偶ytkownika o instalacji w systemie;
- podczas pracy cz臋艣膰 serwerowa wy艣wietla ikon臋 w zasobniku systemowym;
- dodano sk艂adnik umo偶liwiaj膮cy deinstalacj臋 programu.
Z uwagi na powy偶sze zmiany wersja 3.5.11 (oraz nowsze) nie jest wykrywana przez programy antywirusowe jako backdoor.