ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Detect date
12/13/2010
Classe
Backdoor
Plataforma
Win32

Classe principal: TrojWare

Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.

Classe: Backdoor

Os backdoors são projetados para permitir que usuários mal-intencionados controlem remotamente o computador infectado. Em termos de funcionalidade, os Backdoors são semelhantes a muitos sistemas de administração projetados e distribuídos por desenvolvedores de software. Esses tipos de programas mal-intencionados possibilitam fazer qualquer coisa que o autor queira no computador infectado: enviar e receber arquivos, iniciar ou excluir arquivos, exibir mensagens, excluir dados, reinicializar o computador etc. Os programas nessa categoria costumam ser usados a fim de unir um grupo de computadores da vítima e formar uma rede de botnets ou zumbis. Isso dá aos usuários mal-intencionados controle centralizado sobre um exército de computadores infectados que podem ser usados ​​para fins criminosos. Há também um grupo de Backdoors que são capazes de se espalhar através de redes e infectar outros computadores como os Net-Worms. A diferença é que tais Backdoors não se propagam automaticamente (como fazem os Net-Worms), mas apenas com um “comando” especial do usuário mal-intencionado que os controla.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

O Backdoor.Rbot é uma família de programas de Tróia para Windows, que oferece ao usuário acesso remoto a máquinas vitimadas. Os Trojans são controlados via IRC e têm as seguintes funções:

  • monitorar redes para pacotes de dados interessantes (ou seja, aqueles que contêm senhas para servidores FTP e sistemas de pagamento eletrônico, como o PayPal etc.)

  • varredura de redes para máquinas que possuem vulnerabilidades comuns não corrigidas (RPC DCOM, UPnP, WebDAV e outras); para máquinas infectadas por programas Trojan (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven e outros) e pelos componentes Trojan de worms ( I-Worm.Mydoom , I-Worm.Bagle ); para máquinas com senhas de sistema fracas

  • conduzir ataques DoS

  • Lançar SOCKS e servidores HTTP em máquinas infectadas

  • enviar ao usuário do programa informações detalhadas sobre a máquina vítima, incluindo senhas para uma variedade de jogos de computador
Por exemplo, Backdoor.Win32.Rbot.bni:

A cada 50 milissegundos, o backdoor cria um encadeamento no qual ele se conectará ao seguinte servidor (se houver uma rede acessível):

 www.starman.eewww.if.ee 

Se, no decorrer da conexão 256, um dos servidores retornar um erro informando que o recurso está temporariamente indisponível, a conexão será suspensa por meio segundo.

O backdoor se espalha por meio da vulnerabilidade RPC do Microsoft Windows DCOM. Uma descrição completa da vulnerabilidade pode ser encontrada no Microsoft Security Bulletin MS03-026 Microsoft Security Bulletin MS03-026 ( ).

O backdoor escolhe endereços IP para atacar e, se uma máquina sob ataque contiver a vulnerabilidade DCOM RPC, o backdoor iniciará seu código na máquina vulnerável.

Se nenhum dos computadores sob ataque contiver essa vulnerabilidade, o backdoor tentará se conectar usando os seguintes nomes de usuário:

 AdministradorAdmin 

e as seguintes senhas:

 Adminraizasdfghsenha00000000000000000000000000000000000112123123412345123456123456712345678123456789segredosegurosegurançaconfiguraçãosombramerdasqlsupersyssistemaabc123AcessoadmalfaanonanônimoPorta dos fundoscópia de segurançabetabincafécomputadorequipe técnicabase de dadosdepurarpadrãodemonstraçãoXirconvidadoOláinstalarInternetentrarenviarGerentedinheiromonitorredeNovoNewpassusuarioninguémnopassoráculopassarpasswdservidorpoiuytreprivadopúblicoqwertyaleatóriarealcontrolo remotoréguatelnettemptestetest1test2Visitantejanelas 

Se o backdoor conseguir estabelecer uma conexão, ele copiará seu arquivo executável para o diretório do sistema Windows na máquina vítima.

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
Kaspersky Next:
cibersegurança redefinida
Saber mais
Novo Kaspersky!
Sua vida dgital merece proteção completa!
Saber mais
Confirm changes?
Your message has been sent successfully.