На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.Small.ls


Rootkit:  Нет
Видимые проявления:  Процесс wininet.exe, прослушивающий порты TCP
Посторонняя библиотека svshost.dll в автозапуске

Исполняемый файл имеет размер 5.5 кб, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Создает копию своего исполняемого файла под именем WINDOWS\system32\wininet.exe
2. Создает на диске файл WINDOWS\system32\svshost.dll размером 2.5 кб
3. Регистрирует в автозапуске ShellServiceObjectDelayLoad\SysRun объект с CLSID {D7FFD784-5276-42D1-887B-00267870A4C7}
4. Регистрирует класс с {D7FFD784-5276-42D1-887B-00267870A4C7}, исполняемый файл WINDOWS\system32\svshost.dll
5. Запускает WINDOWS\system32\wininet.exe и завершает работу

Процесс wininet.exe скрытно обменивается с сайтом в Интернет (URL жестко задан в теле трояна), загружает файл ips.txt с набором IP адресов. После этого он открывает на прослушивание порт TCP (номер порта меняется при каждом запуске), затем повторно связывается с сайтом и передает номер открытого порта и версию операционной системы пораженного компьютера.

Удаление вручную:
Удаление сводится к уничтожению файлов, принадлежащих данной вредоносной программе. Эта операция может быть выполнена автоматически при помощи скрипта:
begin
 DeleteFile('%system32%\wininet.exe');
 DeleteFile('%system32%\svshost.dll');
 // Чистка следов в реестре
 ExecuteSysClean;
 RebootWindows(true);
end.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.