Название по номенклатуре: Backdoor.win32.small.cz
Размер файла: 2560 байт
Инсталяция: После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
Действие на систему: Данный объект представляет собой IRC-бэкдор.
Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению:
1. Выгрузить процесс troyan.exe из памяти.
2. Найти и удалить из реестра инсталляционный ключ бэкдора:
3. Найти и удалить файлы:
4. Перезагрузить машину.
5. Произвести полную проверку компьютера.
Размер файла: 2560 байт
Инсталяция: После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
Код:
[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"avast"="%WinDir%\\troyan.exe"Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению:
1. Выгрузить процесс troyan.exe из памяти.
2. Найти и удалить из реестра инсталляционный ключ бэкдора:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="%WinDir%\troyan.exe"
Код:
%WinDir%\troyan.exe
%WinDir%\z31.exe5. Произвести полную проверку компьютера.