роянская программа. Имеет встроенную функцию удаленного управления компьютером.
Деструктивная активность
После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.
%WinDir%\\troyan.exe
Затем бэкдор регистрирует этот файл в системном реестре:
[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "avast"="%WinDir%\\troyan.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Данный объект представляет собой IRC-бэкдор.
Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.
Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.
Рекомендации по удалению
1. Выгрузить процесс troyan.exe из памяти.
2. Найти и удалить из реестра инсталляционный ключ бэкдора:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "avast"="%WinDir%\troyan.exe"
3. Найти и удалить файлы:
%WinDir%\troyan.exe %WinDir%\z31.exe
4. Перезагрузить машину.
5. Произвести полную проверку компьютера.