Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Backdoor
Os backdoors são projetados para permitir que usuários mal-intencionados controlem remotamente o computador infectado. Em termos de funcionalidade, os Backdoors são semelhantes a muitos sistemas de administração projetados e distribuídos por desenvolvedores de software. Esses tipos de programas mal-intencionados possibilitam fazer qualquer coisa que o autor queira no computador infectado: enviar e receber arquivos, iniciar ou excluir arquivos, exibir mensagens, excluir dados, reinicializar o computador etc. Os programas nessa categoria costumam ser usados a fim de unir um grupo de computadores da vítima e formar uma rede de botnets ou zumbis. Isso dá aos usuários mal-intencionados controle centralizado sobre um exército de computadores infectados que podem ser usados para fins criminosos. Há também um grupo de Backdoors que são capazes de se espalhar através de redes e infectar outros computadores como os Net-Worms. A diferença é que tais Backdoors não se propagam automaticamente (como fazem os Net-Worms), mas apenas com um “comando” especial do usuário mal-intencionado que os controla.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Esse é um utilitário de administração remota cliente-servidor típico que permite a conexão com o (s) computador (es) remoto (s) para gerenciar seus recursos do sistema em tempo real (semelhante ao "pcAnywhere" pela Symantec). Este utilitário tem um nome "Remote-Anything" e é desenvolvido e distribuído pela empresa TWD Industries (http://www.twd-industries.com).
Este programa é detectado e classificado como um Trojan de Backdoor, porque absolutamente atende o comportamento de Backdoor (consulte Backdoor ):
- instalação oculta no sistema
- se esconde completamente no sistema quando ativo
- permite administrar um sistema infectado de um host remoto
O componente servidor deste programa se esconde no sistema e não é visível para o usuário comum, ao contrário de outras ferramentas de administração remota que:
- ter um procedimento padrão de instalação e desinstalação
- tem alguma interface visível (um ícone na barra de bandeja, por exemplo)
O servidor
O componente do servidor não tem nenhum comportamento de instalação visível: quando executado sem nenhuma mensagem, ele copia a si mesmo (o arquivo inteiro) para o diretório do Windows com o nome SLAVE.EXE e registra no registro do sistema na seção de execução automática:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Servidor RA" = "C: WINDOWS Slave.exe"
Como resultado, o componente do servidor será ativado pelo Windows em cada reinicialização e sem nenhuma notificação a um usuário.
O cliente
Um hacker, por componente cliente, pode se conectar a um computador infectado e controlá-lo: para assistir à área de trabalho de um computador em tempo real; enviar comandos para sistemas infectados por teclado e / ou mouse; para acessar um sistema de arquivos; para reiniciar ou desligar o computador.
Removendo o Servidor
Para remover o componente do servidor do sistema, você precisa executar o AVP com as atualizações mais recentes e permitir que ele exclua o servidor. Você também precisa excluir a chave do registro manualmente.
Você também pode excluir manualmente a chave do registro, reinicializar o computador e excluir o arquivo do servidor SLAVE.EXE no diretório do Windows.
Você também pode usar um utilitário especial de remoção que é distribuído pela TWD Industries em seu site.
Informações importantes sobre este utilitário:
A partir da versão 3.5.11, a TWD Industries fez as seguintes alterações:
Você pode adicionar ao seu produto:
Versão 3.5.11 e posteriores não tratam programas nocivos do tipo "Backdoor".
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com