На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.Small.ob


Rootkit:  Нет
Видимые проявления:  Повышенная сетевая активность
Посторонние приложения в автозапуске

Троянская программа, исполняемый файл сжат UPX, размер 8704 байта, распакованный размер 12800 байт. В случае запуска скрытно пытается выполнить следующие операции:
1. Пытается удалить файл WINDOWS\system32\cvrss.exe
2. Удаляет параметр ATI из ключа реестра Software\Microsoft\Windows\CurrentVersion\Run
3. Создает свою копию под именем WINDOWS\system32\acrmon32.exe
4. Создает параметр с именем "Acrobat" в
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, значение параметра WINDOWS\system32\acrmon32.exe
5. Обменивается с http://srv01.[deleted].com/cv.php, создает файл
WINDOWS\ptfcfg.ini - с настройками
6. загружает файл http://srv01.[deleted]/hp.exe размером 14848 байта, сохраняет его
под именем TEMP\filex.exe и запускает его. Этот файл - троян класса StartPage, он изменяет
стартовую страницу браузера на http://www.infocontainer.com
7. Начинает атаковать компьютеры, пытаяся соединиться с ними по порту
445. В коде эксплоита есть URL, с которого производится загрузка данного зловреда

Удаление вручную
Процесс не маскируется в памяти, лечение сводится у удалению файла WINDOWS\system32\acrmon32.exe при помощи отложенного удаления AVZ

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.