Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Backdoor
Os backdoors são projetados para permitir que usuários mal-intencionados controlem remotamente o computador infectado. Em termos de funcionalidade, os Backdoors são semelhantes a muitos sistemas de administração projetados e distribuídos por desenvolvedores de software. Esses tipos de programas mal-intencionados possibilitam fazer qualquer coisa que o autor queira no computador infectado: enviar e receber arquivos, iniciar ou excluir arquivos, exibir mensagens, excluir dados, reinicializar o computador etc. Os programas nessa categoria costumam ser usados a fim de unir um grupo de computadores da vítima e formar uma rede de botnets ou zumbis. Isso dá aos usuários mal-intencionados controle centralizado sobre um exército de computadores infectados que podem ser usados para fins criminosos. Há também um grupo de Backdoors que são capazes de se espalhar através de redes e infectar outros computadores como os Net-Worms. A diferença é que tais Backdoors não se propagam automaticamente (como fazem os Net-Worms), mas apenas com um “comando” especial do usuário mal-intencionado que os controla.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este programa Trojan pode ser usado para administração remota da máquina vítima. Tem um cliente e um componente de servidor.
O componente do servidor é escrito no Microsoft Visual C ++. Ele tem 28672 bytes de tamanho e não é empacotado de nenhuma maneira. O componente cliente também é gravado no Microsoft Visual C ++ e tem 32768 bytes de tamanho. Não é embalado de qualquer maneira.
Carga útil
O usuário mal-intencionado remoto inicia o componente cliente em sua máquina. Isso possibilita enviar comandos para o componente do servidor que está instalado na máquina vítima. O usuário mal-intencionado deve fornecer o endereço da máquina da vítima.
O programa contém as seguintes strings:
- (c) 2000, **** Vidstrom, ****.vidstrom@****curity.nu
- Para instruções, consulte http: //****curity.nu/toolbox/ackcmd/
O componente servidor possibilita que o usuário mal-intencionado remoto abra a linha de comando na máquina vítima e execute comandos através da linha de comando na máquina vítima.
A característica interessante deste backdoor é que ele usa somente pacotes ACK. Isso significa que uma conexão padrão não é estabelecida; em vez disso, os dados serão transmitidos diretamente usando pacotes ACK. Isso possibilita que o Trojan contorne alguns firewalls.
O backdoor não possui nenhuma rotina de replicação.
Instruções de remoção
- Use o Gerenciador de Tarefas para finalizar o processo do cavalo de Tróia.
- Exclua o arquivo backdoor original (sua localização na máquina vítima dependerá de como o programa penetrou originalmente na máquina da vítima).
- Atualize seus bancos de dados de antivírus e execute uma verificação completa do computador ( baixe uma versão de avaliação do Kaspersky Anti-Virus).
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com