Backdoor.Win32.AckCmd

Класс Backdoor
Платформа Win32
Описание

Removal instructions

  1. В «Диспетчере задач» завершить троянский процесс.
  2. Удалить оригинальный файл бекдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Technical Details

Троянская программа, предназначенная для удаленного управления компьютером. Состоит из двух частей: клиентской и серверной.

Серверная часть написана на Microsoft Visual C++, ничем не упакована и имеет размер 28672 байта. Клиентская часть написана на Microsoft Visual C++, ничем не упакована и имеет размер 32768 байт.

Payload

Клиентская часть запускается на компьютере злоумышленника и позволяет отправлять команды серверной части, установленной на компьютере жертвы. В качестве параметра при запуске необходимо указать адрес заражённой машины.

Содержит следующие строки:

AckCmd 1.1 — The Ack Command Prompt for Windows 2000
— (c) 2000, **** Vidstrom, ****.vidstrom@****curity.nu
— For instructions see http://****curity.nu/toolbox/ackcmd/

Серверная часть позволяет злоумышленнику открыть удалённую командную строку на заражённом компьютере и удалённо запускать любые команды из этой строки на заражённом компьютере.

Особенность этого бекдора в том, что для связи он использует только ACK-пакеты. В данном случае стандартное соединение не происходит, а сразу передаются данные, причём через ACK-пакеты. Эта особенность позволяет троянцу обходить некоторые межсетевые экраны.

Бекдор не имеет никаких функций для размножения.