На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.Bifrose.agq


Rootkit:  Нет
Видимые проявления:  Посторонний элемент system32\server.exe в автозапуске

Исполняемый файл размером 23 кб, сжат UPX. В случае запуска скрытно выполняет следующие операции:
1. Пытается удалить файл WINDOWS\system32\server.exe
2. Копирует свой исполняемый файл под именем WINDOWS\system32\server.exe
3. Регистрирует свой файл в автозапуске (стандартный ключ реестра Run, параметр startkey)
4. Работает с ключом реестра SOFTWARE\Wget
5. Модифицирует память процесса explorer.exe, внедряя в его память троянский код, который затем запускается как удаленный поток
6. Завершает работу (после завершения работы происходит самоуничтожение исходного исполняемого, за эту операцию отвечает троянский поток)
Вредоносная программа не маскирует свое присутствие и ее удаление сводится к удалению WINDOWS\system32\server.exe и ключа реестра, применяемого для запуска данного процесса.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.