Backdoor.Win32.Breplibot.ae
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.
Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Управляется через IRC.
Представляет собой Windows PE EXE-файл. Имеет размер 31232 байта.
Инсталляция
После запуска бэкдор копирует себя в системный каталог Windows с именем svcsvh32.exe:
%System%\svcsvh32.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsDiskEvt"="svcsvh32.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Бэкдор создает следующий уникальный идентификатор для определения своего присутствия в системе:
svcsvh32.exe
После чего оригинальный запускаемый файл удаляется.
| name=doc3>Деструктивная активность |
Программа соединяется со следующими IRC-серверами и получает команды удалённого управления от «хозяина»:
128.119.60.144 152.7.4.74 161.6.23.28 170.140.216.236 170.140.240.82
Это позволяет злоумышленнику через IRC-каналы иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Также бэкдор имеет функцию обмана стандартного Windows Firewall. Бэкдор прописывает себя в списке разрешенных программ, тем самым его действия не могут быть заблокированы.
Также бэкдор пытается выгрузить из системы различные процессы, соответствующие некоторым антивирусным программам и межсетевым экранам.
| name=doc2>Рекомендации по удалению |
- При помощи Диспетчера Задач (Task Manager) завершить процесс с именем svcsvh32.exe.
- Удалить следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WindowsDiskEvt"="svcsvh32.exe" - Необходимо удалить следующий файл:
%System%\svcsvh32.exe
Ваш провайдер знает о вас больше, чем ваша девушка?