EpicNet.Ru - Форум IRC Чата

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости и помощь в сфере IT » Новая угроза "Backdoor.Win32.Small.cz"


Новая угроза "Backdoor.Win32.Small.cz"

Сообщений 1 страница 3 из 3

1

ВНИМАНИЕ! Новый троян в интернете

Технические детали:
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

Деструктивная активность:

После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.

%WinDir%\\troyan.exe

Затем бэкдор регистрирует этот файл в системном реестре:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Данный объект представляет собой IRC-бэкдор.

Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

Рекомендации по удалению:

    Выгрузить процесс troyan.exe из памяти.

    Найти и удалить из реестра инсталляционный ключ бэкдора:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "avast"="%WinDir%\troyan.exe"

    Найти и удалить файлы:

    %WinDir%\troyan.exe
    %WinDir%\z31.exe

    Перезагрузить машину.

    Произвести полную проверку компьютера.

Отредактировано Include (21.12.2011 16:38)

2

Хочу заметить, что защититься от подобных угроз можно вполне обычным качественным фаерволом, чтобы с вашего ПК ни одна программа не могла вот так просто что-либо выполнять без вашего на то разрешения! Например есть очень интересный и совершенно бесплатный фаервол:

"Comodo Internet Security" - Официальный сайт: https://ru.comodo.com

Подпись автора

[html]<style>img {vertical-align:middle;}.hnet{color:#FFFFFF;}.hstar{color:#DE0000;}.htext{font-family:Verdana;font-size:13px;color:#6E1E00;}.heading{font-family:Verdana;font-size:13px;font-weight:bold;background-color:#4898CD;}.stitle{font-family:Verdana;font-size:12px;}.dot{color:#808000;}.desc{color:#B5B5B5;}a .curl{font-family:Verdana;font-size:12px;color:#3A92CD;}</style><table><tr><td width="20px" height="20px"><img src="http://forumstatic.ru/files/000d/c9/8c/34681.jpg"></td><td><a href="https://forum.epicnet.ru/viewtopic.php?id=234"><span class="heading"> <span class="hstar">★</span> <span class="hnet">EpicNet.Ru</span> <span class="hstar">★</span> </span><span class="htext"> - Российский IRC Чат © 2009</span></a></td></tr><tr><td></td><td><div class="stitle"><span class="dot">•</span> <span class="desc">Онлайн:</span> <a href="http://chat.epicnet.ru"><span class="curl">http://chat.epicnet.ru</span></a><br><span class="dot">•</span> <span class="desc">Сервер:</span> irc.epicnet.ru <span class="desc">Порты:</span> 6667, 6668 (ssl) <span class="desc">Кодировка:</span> UTF-8<br><span class="dot">•</span> <span class="desc">Сайт:</span> <a href="http://epicnet.ru"><span class="curl">http://epicnet.ru</span></a> <span class="dot">•</span> <span class="desc">ВКонтакте:</span> <a href="https://vk.com/irc_epicnet"><span class="curl">https://vk.com/irc_epicnet</span></a><br><div></td></tr></table>[/html]

3

Тоже юзаю уже в течени 2х лет Comodo и доволен им почти полностью =) Но к сожалению с начала 2012 года после обновления баз почти что все репаки игр перестали устанавливатся и вылетать из за ошибок. Решил эту траблу отключением фаервола.

Быстрый ответ

Напишите ваше сообщение и нажмите «Отправить»



Вы здесь » EpicNet.Ru - Форум IRC Чата » Новости и помощь в сфере IT » Новая угроза "Backdoor.Win32.Small.cz"