Hlavní třída: TrojWare
Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.
Třída: Backdoor
Zadní stěny jsou navrženy tak, aby poskytovaly škodlivým uživatelům vzdálený přístup k infikovanému počítači. Pokud jde o funkčnost, Backdoors jsou podobné mnoha administrativním systémům navrženým a distribuovaným vývojáři softwaru.Tyto typy škodlivých programů umožňují dělat cokoliv, co autor chce na napadeném počítači: odesílat a přijímat soubory, spouštět soubory nebo je smazat, zobrazovat zprávy, mazat data, restartovat počítač atd.
Programy v této kategorii se často používají k sjednocení skupiny obětí počítačů a vytvoření sítě botnet nebo zombie. To dává zlomyslným uživatelům centralizovanou kontrolu nad armádou infikovaných počítačů, které pak mohou být použity pro kriminální účely.
Existuje také skupina Backdoors, která je schopna šíření prostřednictvím sítí a infikování jiných počítačů jako Net-Worms. Rozdíl je v tom, že takové Backdoors se nerozšířují automaticky (jak to dělá Net-Worms), ale pouze na speciální "příkaz" od škodlivého uživatele, který je ovládá.
Platfoma: Win32
Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.Popis
Technické údaje
Jedná se o typický nástroj vzdálené správy klient-server, který umožňuje připojení k vzdáleným počítačům pro správu svých (systémových) zdrojů v reálném čase (podobně jako Symantec "pcAnywhere"). Tento nástroj má název "Vzdálené-cokoliv" a byl vyvinut a distribuován společností TWD Industries (http://www.twd-industries.com).
Tento program je detekován a klasifikován jako Backdoor Trojan, protože zcela splňuje chování Backdoor (viz Backdoor ):
- skrytá instalace do systému
- zcela se skrývá v systému, když je aktivní
- umožňuje spravovat infikovaný systém ze vzdáleného hostitele
Serverová součást tohoto programu se skrývá v systému a není pro průměrného uživatele viditelná na rozdíl od jiných nástrojů vzdálené správy, které:
- mají standardní postupy instalace a deinstalace
- mít nějaké viditelné rozhraní (například ikona v zásobníku)
Server
Komponenta serveru nemá žádné viditelné chování instalace: při spuštění bez zpráv se zkopíruje (celý soubor) do adresáře systému Windows s názvem SLAVE.EXE a registruje v systémovém registru v sekci automatického spuštění:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server" = "C: WINDOWS Slave.exe"
V důsledku toho bude serverová součást aktivována systémem Windows při každém restartu a bez jakéhokoli upozornění uživatele.
Klient
Hacker, který je součástí klienta, se může připojit k infikovanému počítači a má nad ním kontrolu: sledovat pracovní plochu počítače v reálném čase; posílat příkazy na infikované systémy klávesnicí a / nebo myší; pro přístup k souborovému systému; restart nebo vypnutí počítače.
Odstranění serveru
Chcete-li odebrat součást serveru ze systému, musíte nejprve spustit AVP a nechat ji odstranit. Musíte také ručně odstranit klíč registru.
Také můžete ručně odstranit klíč registru, restartovat počítač a odstranit soubor serveru SLAVE.EXE v adresáři systému Windows.
Můžete také použít speciální nástroj pro odstraňování, který je distribuován společností TWD Industries na jejich webových stránkách.
Důležité informace o tomto nástroji:
Počínaje verzí 3.5.11 společnost TWD Industries provedla následující změny:
Do svého produktu můžete přidat:
Verze 3.5.11 a novější nešetří škodlivé programy typu "Backdoor".
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com