ВНИМАНИЕ! Новый троян в интернете

Технические детали:
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

Деструктивная активность:

После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.

%WinDir%\\troyan.exe

Затем бэкдор регистрирует этот файл в системном реестре:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Данный объект представляет собой IRC-бэкдор.

Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

Рекомендации по удалению:

    Выгрузить процесс troyan.exe из памяти.

    Найти и удалить из реестра инсталляционный ключ бэкдора:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "avast"="%WinDir%\troyan.exe"

    Найти и удалить файлы:

    %WinDir%\troyan.exe
    %WinDir%\z31.exe

    Перезагрузить машину.

    Произвести полную проверку компьютера.

Отредактировано Include (21.12.2011 16:38)