EpicNet.Ru - Форум IRC Чата

    Информация о пользователе

    Привет, Гость! Войдите или зарегистрируйтесь.


    Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости IT » Новая угроза (Backdoor.Win32.Small.cz)


    Новая угроза (Backdoor.Win32.Small.cz)

    Сообщений 1 страница 3 из 3

    1

    ВНИМАНИЕ! Новый троян в интернете

    Технические детали:
    Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

    Деструктивная активность:

    После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.

    %WinDir%\\troyan.exe

    Затем бэкдор регистрирует этот файл в системном реестре:

    [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
    "avast"="%WinDir%\\troyan.exe"

    При каждой следующей загрузке Windows автоматически запустит файл-троянец.

    Данный объект представляет собой IRC-бэкдор.

    Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

    Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

    Рекомендации по удалению:

        Выгрузить процесс troyan.exe из памяти.

        Найти и удалить из реестра инсталляционный ключ бэкдора:

        [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
        "avast"="%WinDir%\troyan.exe"

        Найти и удалить файлы:

        %WinDir%\troyan.exe
        %WinDir%\z31.exe

        Перезагрузить машину.

        Произвести полную проверку компьютера.

    Отредактировано Include (21.12.2011 16:38)

    0

    2

    Хочу заметить, что защититься от подобных угроз можно вполне обычным качественным фаерволом, чтобы с вашего ПК ни одна программа не могла вот так просто что-либо выполнять без вашего на то разрешения! Например есть очень интересный продукт и совершенно бесплатный это Comodo Internet Security - официальный сайт: https://ru.comodo.com

    Подпись автора

    [html]<head><style>table {border-style:hidden;border-color:#FAFBFC;border-collapse:collapse;}</style></head><body><br><br><br><table cols="2"><tr><td width="20px" height="20px" align="right"><img src="https://forumstatic.ru/files/000d/c9/8c/34681.jpg"></td><td width="550px" valign="center"><a href="http://forum.epicnet.ru/viewtopic.php?id=234#p291"><font face="Verdana" size="2px" color="#DE0000"><b>EpicNet.Ru</b></font><font face="Verdana" size="2px" color="#650000"> - Российский IRC Чат</font></a></td></tr><tr><td width="5px"></td><td width="200px" valign="center"><font face="Verdana" size="2px" color="olive">•</font> <font face="Verdana" size="2px" color="#B9B9B9">Онлайн:</font> <a href="http://chat.epicnet.ru"><font face="Verdana" size="2px" color="#3A92CD">http://chat.epicnet.ru</font></a><br><font face="Verdana" size="2px" color="olive">•</font> <font face="Verdana" size="2px" color="#B9B9B9">Сервер:</font> <font face="Verdana" size="2px" color="#000">irc.epicnet.ru</font> <font face="Verdana" size="2px" color="#B9B9B9">Порты:</font> <font face="Verdana" size="2px" color="#000">6667, 6668 (ssl), 6669 (tls)</font> <font face="Verdana" size="2px" color="#B9B9B9">Кодировка:</font> <font face="Verdana" size="2px" color="#000">UTF-8</font><br><font face="Verdana" size="2px" color="olive">•</font> <font face="Verdana" size="2px" color="#B9B9B9">Сайт:</font> <a href="http://epicnet.ru"><font face="Verdana" size="2px" color="#3A92CD">http://epicnet.ru</font></a></font> <font face="Verdana" size="2px" color="olive">•</font> <font face="Verdana" size="2px" color="#B9B9B9">ВКонтакте:</font> <a href="https://vk.com/irc_epicnet"><font face="Verdana" size="2px" color="#3A92CD">https://vk.com/irc_epicnet</font></a></font></td></tr></table></body>[/html]

    0

    3

    Тоже юзаю уже в течени 2х лет Comodo и доволен им почти полностью =) Но к сожалению с начала 2012 года после обновления баз почти что все репаки игр перестали устанавливатся и вылетать из за ошибок. Решил эту траблу отключением фаервола.

    Подпись автора

    [img]http://mgn74-rus.ucoz.ru/cooltext605564403.jpg[/img]

    0


    Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости IT » Новая угроза (Backdoor.Win32.Small.cz)