Backdoor.win32.Small.cz

роянская программа. Имеет встроенную функцию удаленного управления компьютером.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

Деструктивная активность

После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.


%WinDir%\\troyan.exe

Затем бэкдор регистрирует этот файл в системном реестре:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
 "avast"="%WinDir%\\troyan.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Данный объект представляет собой IRC-бэкдор.

Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

Рекомендации по удалению

1. Выгрузить процесс troyan.exe из памяти.

2. Найти и удалить из реестра инсталляционный ключ бэкдора:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="%WinDir%\troyan.exe"

3. Найти и удалить файлы:


%WinDir%\troyan.exe
%WinDir%\z31.exe

4. Перезагрузить машину.

5. Произвести полную проверку компьютера.