Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o typický nástroj vzdálené správy klient-server, který umožňuje připojení k vzdáleným počítačům pro správu svých (systémových) zdrojů v reálném čase (podobně jako Symantec "pcAnywhere"). Tento nástroj má název "Vzdálené-cokoliv" a byl vyvinut a distribuován společností TWD Industries (http://www.twd-industries.com).

Tento program je detekován a klasifikován jako Backdoor Trojan, protože zcela splňuje chování Backdoor (viz Backdoor ):

skrytá instalace do systému
zcela se skrývá v systému, když je aktivní
umožňuje spravovat infikovaný systém ze vzdáleného hostitele

Serverová součást tohoto programu se skrývá v systému a není pro průměrného uživatele viditelná na rozdíl od jiných nástrojů vzdálené správy, které:

mají standardní postupy instalace a deinstalace
mít nějaké viditelné rozhraní (například ikona v zásobníku)

Server

Komponenta serveru nemá žádné viditelné chování instalace: při spuštění bez zpráv se zkopíruje (celý soubor) do adresáře systému Windows s názvem SLAVE.EXE a registruje v systémovém registru v sekci automatického spuštění:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server" = "C: WINDOWS Slave.exe"

V důsledku toho bude serverová součást aktivována systémem Windows při každém restartu a bez jakéhokoli upozornění uživatele.

Klient

Hacker, který je součástí klienta, se může připojit k infikovanému počítači a má nad ním kontrolu: sledovat pracovní plochu počítače v reálném čase; posílat příkazy na infikované systémy klávesnicí a / nebo myší; pro přístup k souborovému systému; restart nebo vypnutí počítače.

Odstranění serveru

Chcete-li odebrat součást serveru ze systému, musíte nejprve spustit AVP a nechat ji odstranit. Musíte také ručně odstranit klíč registru.

Také můžete ručně odstranit klíč registru, restartovat počítač a odstranit soubor serveru SLAVE.EXE v adresáři systému Windows.

Můžete také použít speciální nástroj pro odstraňování, který je distribuován společností TWD Industries na jejich webových stránkách.

Důležité informace o tomto nástroji:

Počínaje verzí 3.5.11 společnost TWD Industries provedla následující změny:

Do svého produktu můžete přidat:

serverovou komponentu, která během spuštění komunikuje, co bude nainstalováno do systému

zatímco součást serveru funguje, její ikona se objeví v systémové liště

nyní existuje součást určená k odinstalování serveru

Verze 3.5.11 a novější nešetří škodlivé programy typu "Backdoor".

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Backdoor
Platfoma	Win32
Popis	Technické údaje Jedná se o typický nástroj vzdálené správy klient-server, který umožňuje připojení k vzdáleným počítačům pro správu svých (systémových) zdrojů v reálném čase (podobně jako Symantec "pcAnywhere"). Tento nástroj má název "Vzdálené-cokoliv" a byl vyvinut a distribuován společností TWD Industries (http://www.twd-industries.com). Tento program je detekován a klasifikován jako Backdoor Trojan, protože zcela splňuje chování Backdoor (viz Backdoor ): skrytá instalace do systému zcela se skrývá v systému, když je aktivní umožňuje spravovat infikovaný systém ze vzdáleného hostitele Serverová součást tohoto programu se skrývá v systému a není pro průměrného uživatele viditelná na rozdíl od jiných nástrojů vzdálené správy, které: mají standardní postupy instalace a deinstalace mít nějaké viditelné rozhraní (například ikona v zásobníku) Server Komponenta serveru nemá žádné viditelné chování instalace: při spuštění bez zpráv se zkopíruje (celý soubor) do adresáře systému Windows s názvem SLAVE.EXE a registruje v systémovém registru v sekci automatického spuštění: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "RA Server" = "C: WINDOWS Slave.exe" V důsledku toho bude serverová součást aktivována systémem Windows při každém restartu a bez jakéhokoli upozornění uživatele. Klient Hacker, který je součástí klienta, se může připojit k infikovanému počítači a má nad ním kontrolu: sledovat pracovní plochu počítače v reálném čase; posílat příkazy na infikované systémy klávesnicí a / nebo myší; pro přístup k souborovému systému; restart nebo vypnutí počítače. Odstranění serveru Chcete-li odebrat součást serveru ze systému, musíte nejprve spustit AVP a nechat ji odstranit. Musíte také ručně odstranit klíč registru. Také můžete ručně odstranit klíč registru, restartovat počítač a odstranit soubor serveru SLAVE.EXE v adresáři systému Windows. Můžete také použít speciální nástroj pro odstraňování, který je distribuován společností TWD Industries na jejich webových stránkách. Důležité informace o tomto nástroji: Počínaje verzí 3.5.11 společnost TWD Industries provedla následující změny: Do svého produktu můžete přidat: serverovou komponentu, která během spuštění komunikuje, co bude nainstalováno do systému zatímco součást serveru funguje, její ikona se objeví v systémové liště nyní existuje součást určená k odinstalování serveru Verze 3.5.11 a novější nešetří škodlivé programy typu "Backdoor".
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Backdoor.Win32.RA-based

Technické údaje

Server

Klient

Odstranění serveru