ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Backdoor.Win32.Rbot

Data de detecção 12/13/2010
Classe Backdoor
Plataforma Win32
Descrição

O Backdoor.Rbot é uma família de programas de Tróia para Windows, que oferece ao usuário acesso remoto a máquinas vitimadas. Os Trojans são controlados via IRC e têm as seguintes funções:

  • monitorar redes para pacotes de dados interessantes (ou seja, aqueles que contêm senhas para servidores FTP e sistemas de pagamento eletrônico, como o PayPal etc.)

  • varredura de redes para máquinas que possuem vulnerabilidades comuns não corrigidas (RPC DCOM, UPnP, WebDAV e outras); para máquinas infectadas por programas Trojan (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven e outros) e pelos componentes Trojan de worms ( I-Worm.Mydoom , I-Worm.Bagle ); para máquinas com senhas de sistema fracas

  • conduzir ataques DoS

  • Lançar SOCKS e servidores HTTP em máquinas infectadas

  • enviar ao usuário do programa informações detalhadas sobre a máquina vítima, incluindo senhas para uma variedade de jogos de computador

Por exemplo, Backdoor.Win32.Rbot.bni:

A cada 50 milissegundos, o backdoor cria um encadeamento no qual ele se conectará ao seguinte servidor (se houver uma rede acessível):

 www.starman.eewww.if.ee 

Se, no decorrer da conexão 256, um dos servidores retornar um erro informando que o recurso está temporariamente indisponível, a conexão será suspensa por meio segundo.

O backdoor se espalha por meio da vulnerabilidade RPC do Microsoft Windows DCOM. Uma descrição completa da vulnerabilidade pode ser encontrada no Microsoft Security Bulletin MS03-026 Microsoft Security Bulletin MS03-026 ( ).

O backdoor escolhe endereços IP para atacar e, se uma máquina sob ataque contiver a vulnerabilidade DCOM RPC, o backdoor iniciará seu código na máquina vulnerável.

Se nenhum dos computadores sob ataque contiver essa vulnerabilidade, o backdoor tentará se conectar usando os seguintes nomes de usuário:

 AdministradorAdmin 

e as seguintes senhas:

 Adminraizasdfghsenha00000000000000000000000000000000000112123123412345123456123456712345678123456789segredosegurosegurançaconfiguraçãosombramerdasqlsupersyssistemaabc123AcessoadmalfaanonanônimoPorta dos fundoscópia de segurançabetabincafécomputadorequipe técnicabase de dadosdepurarpadrãodemonstraçãoXirconvidadoOláinstalarInternetentrarenviarGerentedinheiromonitorredeNovoNewpassusuarioninguémnopassoráculopassarpasswdservidorpoiuytreprivadopúblicoqwertyaleatóriarealcontrolo remotoréguatelnettemptestetest1test2Visitantejanelas 

Se o backdoor conseguir estabelecer uma conexão, ele copiará seu arquivo executável para o diretório do sistema Windows na máquina vítima.


Link para o original
Descubra as estatísticas das ameaças que se espalham em sua região