Security Lab

Backdoor.win32.Small.cz

Backdoor.win32.Small.cz

роянская программа. Имеет встроенную функцию удаленного управления компьютером.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE-файл. Имеет размер 2560 байт.

Деструктивная активность

После запуска бэкдор создает в корневом каталоге Windows файл с именем troyan.exe размером 3072 байта.

  
  %WinDir%\\troyan.exe
  

Затем бэкдор регистрирует этот файл в системном реестре:

  [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
   "avast"="%WinDir%\\troyan.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Данный объект представляет собой IRC-бэкдор.

Бэкдор пытается установить соединение с удаленным хостом amsterdam2.******.org по порту 6667(порт IRC). В случае успешного соединения бэкдор переходит в режим обработки полученных от хозяина IRC-команд.

Злоумышленник может производить проверку связи с ботом посредством посылки команды PING. Также злоумышленник может загружать на компьютер пользователя произвольное количество файлов. Каждый новый загружаемый файл записывается поверх старого. Загружаемый файл сохраняется под именем z31.exe в той же директории, где находится файл бэкдора. После завершения загрузки файла происходит его запуск в скрытом режиме.

Рекомендации по удалению

1. Выгрузить процесс troyan.exe из памяти.

2. Найти и удалить из реестра инсталляционный ключ бэкдора:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "avast"="%WinDir%\troyan.exe"
  

3. Найти и удалить файлы:

  
  %WinDir%\troyan.exe
  %WinDir%\z31.exe

4. Перезагрузить машину.

5. Произвести полную проверку компьютера.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!