ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Backdoor.Win32.RA-based

Classe Backdoor
Plataforma Win32
Descrição

Detalhes técnicos

Esse é um utilitário de administração remota cliente-servidor típico que permite a conexão com o (s) computador (es) remoto (s) para gerenciar seus recursos do sistema em tempo real (semelhante ao "pcAnywhere" pela Symantec). Este utilitário tem um nome "Remote-Anything" e é desenvolvido e distribuído pela empresa TWD Industries (http://www.twd-industries.com).

Este programa é detectado e classificado como um Trojan de Backdoor, porque absolutamente atende o comportamento de Backdoor (consulte Backdoor ):

  • instalação oculta no sistema
  • se esconde completamente no sistema quando ativo
  • permite administrar um sistema infectado de um host remoto

O componente servidor deste programa se esconde no sistema e não é visível para o usuário comum, ao contrário de outras ferramentas de administração remota que:

  • ter um procedimento padrão de instalação e desinstalação
  • tem alguma interface visível (um ícone na barra de bandeja, por exemplo)

O servidor

O componente do servidor não tem nenhum comportamento de instalação visível: quando executado sem nenhuma mensagem, ele copia a si mesmo (o arquivo inteiro) para o diretório do Windows com o nome SLAVE.EXE e registra no registro do sistema na seção de execução automática:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Servidor RA" = "C: WINDOWS Slave.exe"

Como resultado, o componente do servidor será ativado pelo Windows em cada reinicialização e sem nenhuma notificação a um usuário.

O cliente

Um hacker, por componente cliente, pode se conectar a um computador infectado e controlá-lo: para assistir à área de trabalho de um computador em tempo real; enviar comandos para sistemas infectados por teclado e / ou mouse; para acessar um sistema de arquivos; para reiniciar ou desligar o computador.

Removendo o Servidor

Para remover o componente do servidor do sistema, você precisa executar o AVP com as atualizações mais recentes e permitir que ele exclua o servidor. Você também precisa excluir a chave do registro manualmente.

Você também pode excluir manualmente a chave do registro, reinicializar o computador e excluir o arquivo do servidor SLAVE.EXE no diretório do Windows.

Você também pode usar um utilitário especial de remoção que é distribuído pela TWD Industries em seu site.

Informações importantes sobre este utilitário:

A partir da versão 3.5.11, a TWD Industries fez as seguintes alterações:

Você pode adicionar ao seu produto:

  • um componente de servidor que, durante a inicialização, comunica o que será instalado no sistema
  • enquanto o componente do servidor está operando seu ícone aparece na bandeja do sistema
  • existe agora um componente projetado para desinstalar o servidor

    Versão 3.5.11 e posteriores não tratam programas nocivos do tipo "Backdoor".


  • Link para o original