EpicNet.Ru - Форум IRC Чата

Объявление

EpicNet.Ru | IRC Чат - http://epicnet.ru | Онлайн общение, Знакомства, Дружба, Веселье, mIRC Скриптинг + Помощь | Наш сервер и порт для подключения через программы - irc.epicnet.ru 6667
Для быстрого и удобного онлайн общения с пользователями сети для вас работает веб-гейт с доступом в IRC Чат
Заходите к нам прямо сейчас без регистрации. Выберите свой стиль чата и кликните по картинке для входа:
 
 
 
Кофейный стиль
 
Тёмный стиль
 
Голубой стиль
 
Чёрный стиль

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости IT » Новая угроза (Backdoor.Win32.Small.cz)


Новая угроза (Backdoor.Win32.Small.cz)

Сообщений 1 страница 3 из 3

1

SEOSPRINT - лучший сайт для заработка и рекламы своего проекта в интернете! Всё ещё не знаешь, где взять лишние деньги на оплату интернета или как быстро раскрутить свой сайт? это очень просто! Заходи, регистрируйся - тут и приступай к работе!
_

ВНИМАНИЕ! Новый троян в интернете

Технические детали:
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

Деструктивная активность:

После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.

%WinDir%\\troyan.exe

Затем бэкдор регистрирует этот файл в системном реестре:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Данный объект представляет собой IRC-бэкдор.

Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

Рекомендации по удалению:

    Выгрузить процесс troyan.exe из памяти.

    Найти и удалить из реестра инсталляционный ключ бэкдора:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "avast"="%WinDir%\troyan.exe"

    Найти и удалить файлы:

    %WinDir%\troyan.exe
    %WinDir%\z31.exe

    Перезагрузить машину.

    Произвести полную проверку компьютера.

Отредактировано Include (21.12.2011 16:38)

0

2

Хочу заметить, что защититься от подобных угроз можно вполне обычным качевственным фаерволом, чтобы из вашего компьютера ни одна программа не могла вот так просто что либо выполнить без вашего на то разрешения! Например есть очень интересный продукт и совершенно бесплатный это Comodo Internet Security, вот прямая ссылка на закачку его с официального сайта программы: ссылка

0

3

Тоже юзаю уже в течени 2х лет Comodo и доволен им почти полностью =) Но к сожалению с начала 2012 года после обновления баз почти что все репаки игр перестали устанавливатся и вылетать из за ошибок. Решил эту траблу отключением фаервола.

0


Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости IT » Новая угроза (Backdoor.Win32.Small.cz)