DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Backdoor.Win32.RA-based

Kategorie Backdoor
Plattform Win32
Beschreibung

Technische Details

Dies ist ein typisches Client-Server-Remote-Verwaltungsdienstprogramm, das die Verbindung zu Remotecomputern ermöglicht, um seine Systemressourcen in Echtzeit zu verwalten (ähnlich wie bei "pcAnywhere" von Symantec). Dieses Dienstprogramm hat einen "Remote-Anything" -Namen und wird von TWD Industries (http://www.twd-industries.com) entwickelt und vertrieben.

Dieses Programm wird erkannt und als Backdoor-Trojaner eingestuft, da es das Backdoor-Verhalten absolut erfüllt (siehe Backdoor ):

  • versteckte Installation zum System
  • verbirgt sich vollständig im System, wenn es aktiv ist
  • ermöglicht die Verwaltung eines infizierten Systems von einem Remote-Host

Die Serverkomponente dieses Programms verbirgt sich im System und ist für den durchschnittlichen Benutzer im Gegensatz zu anderen Remoteverwaltungstools nicht sichtbar, die:

  • eine Standardinstallation und Deinstallationsverfahren haben
  • eine sichtbare Schnittstelle haben (z. B. ein Symbol in der Tray-Leiste)

Der Server

Die Serverkomponente hat kein sichtbares Installationsverhalten: Wenn sie ohne Nachrichten ausgeführt wird, kopiert sie sich selbst (die gesamte Datei) in das Windows-Verzeichnis mit dem Namen SLAVE.EXE und registriert sich in der Systemregistrierung im Abschnitt "Autostart":

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA-Server" = "C: WINDOWS Slave.exe"

Daher wird die Serverkomponente von Windows bei jedem Neustart und ohne Benachrichtigung an einen Benutzer aktiviert.

Der Kunde

Ein Hacker, nach Client-Komponente, kann sich mit einem infizierten Computer verbinden und hat die Kontrolle darüber: um den Desktop eines Computers in Echtzeit zu beobachten; Befehle per Tastatur und / oder Maus an infizierte Systeme zu senden; um auf ein Dateisystem zuzugreifen; Neustart oder Herunterfahren des Computers.

Entfernen des Servers

Um die Serverkomponente vom System zu entfernen, müssen Sie AVP mit den neuesten Updates ausführen und den Server löschen lassen. Sie müssen den Registrierungsschlüssel auch manuell löschen.

Sie können den Registrierungsschlüssel auch manuell löschen, den Computer neu starten und die Serverdatei SLAVE.EXE im Windows-Verzeichnis löschen.

Sie können auch ein spezielles Dienstprogramm zum Entfernen verwenden, das von TWD Industries auf seiner Website vertrieben wird.

Wichtige Informationen zu diesem Dienstprogramm:

Ab der Version 3.5.11 hat TWD Industries folgende Änderungen vorgenommen:

Sie können zu Ihrem Produkt hinzufügen:

  • eine Serverkomponente, die beim Start mitteilt, was im System installiert wird
  • Während die Serverkomponente läuft, erscheint das Symbol in der Taskleiste
  • Es gibt jetzt eine Komponente, die den Server deinstallieren soll

    Version 3.5.11 und höher behandeln keine schädlichen Programme vom Typ "Backdoor".


  • Link zum Original