Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、シマンテック社の「pcAnywhere」と同様に、リアルタイムでその（自身の）システムリソースを管理するために、リモートコンピュータに接続できる典型的なクライアント/サーバリモート管理ユーティリティです。このユーティリティには "Remote-Anything"という名前があり、TWD Industries社（http://www.twd-industries.com）によって開発され、配布されています。

このプログラムは、バックドアの動作を完全に満たしているため、バックドア型トロイの木馬として検出され、分類されます（バックドアを参照）。

システムへの隠されたインストール
アクティブなときにシステム内に完全に隠れる
リモートホストから感染したシステムを管理できます

このプログラムのサーバーコンポーネントは、システム内に隠れており、他のリモート管理ツールとは異なり、一般ユーザーには見えません。

標準インストールとアンインストールの手順があります。
任意の目に見えるインターフェース（たとえば、トレイバーのアイコン）

サーバー

サーバーコンポーネントにはインストール動作が表示されません。メッセージなしで実行すると、SLAVE.EXEという名前のWindowsディレクトリに自身を（ファイル全体）コピーし、自動実行セクションのシステムレジストリに登録します。

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RAサーバー" = "C： WINDOWS Slave.exe"

その結果、サーバーコンポーネントは、再起動するたびにWindowsによってアクティブ化され、ユーザーに通知されません。

クライアント

ハッカーは、クライアントコンポーネントによって、感染したコンピュータに接続し、コンピュータのデスクトップをリアルタイムで監視することができます。キーボードやマウスで感染したシステムにコマンドを送信する。ファイルシステムにアクセスする。コンピュータを再起動またはシャットダウンします。

サーバーの削除

システムからサーバーコンポーネントを削除するには、最新の更新プログラムを使用してAVPを実行し、サーバーを削除する必要があります。また、レジストリキーを手動で削除する必要があります。

手動でレジストリキーを削除し、コンピュータを再起動し、WindowsディレクトリのSLAVE.EXEサーバーファイルを削除することもできます。

また、WebサイトでTWD Industriesによって配布されている特別な削除ユーティリティを使用することもできます。

このユーティリティに関する重要な情報：

バージョン3.5.11から、TWD Industriesは以下の変更を行いました：

あなたはあなたの製品に追加することができます：

起動時にシステムにインストールされるものを通信するサーバーコンポーネント

サーバーコンポーネントが動作している間にアイコンがシステムトレイに表示されます

サーバーをアンインストールするように設計されたコンポーネントがあります

バージョン3.5.11以降では、「バックドア」タイプの有害なプログラムは扱いません。

オリジナルへのリンク

クラス	Backdoor
プラットフォーム	Win32
説明	技術的な詳細これは、シマンテック社の「pcAnywhere」と同様に、リアルタイムでその（自身の）システムリソースを管理するために、リモートコンピュータに接続できる典型的なクライアント/サーバリモート管理ユーティリティです。このユーティリティには "Remote-Anything"という名前があり、TWD Industries社（http://www.twd-industries.com）によって開発され、配布されています。このプログラムは、バックドアの動作を完全に満たしているため、バックドア型トロイの木馬として検出され、分類されます（バックドアを参照）。システムへの隠されたインストールアクティブなときにシステム内に完全に隠れるリモートホストから感染したシステムを管理できますこのプログラムのサーバーコンポーネントは、システム内に隠れており、他のリモート管理ツールとは異なり、一般ユーザーには見えません。標準インストールとアンインストールの手順があります。任意の目に見えるインターフェース（たとえば、トレイバーのアイコン）サーバーサーバーコンポーネントにはインストール動作が表示されません。メッセージなしで実行すると、SLAVE.EXEという名前のWindowsディレクトリに自身を（ファイル全体）コピーし、自動実行セクションのシステムレジストリに登録します。 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "RAサーバー" = "C： WINDOWS Slave.exe" その結果、サーバーコンポーネントは、再起動するたびにWindowsによってアクティブ化され、ユーザーに通知されません。クライアントハッカーは、クライアントコンポーネントによって、感染したコンピュータに接続し、コンピュータのデスクトップをリアルタイムで監視することができます。キーボードやマウスで感染したシステムにコマンドを送信する。ファイルシステムにアクセスする。コンピュータを再起動またはシャットダウンします。サーバーの削除システムからサーバーコンポーネントを削除するには、最新の更新プログラムを使用してAVPを実行し、サーバーを削除する必要があります。また、レジストリキーを手動で削除する必要があります。手動でレジストリキーを削除し、コンピュータを再起動し、WindowsディレクトリのSLAVE.EXEサーバーファイルを削除することもできます。また、WebサイトでTWD Industriesによって配布されている特別な削除ユーティリティを使用することもできます。このユーティリティに関する重要な情報：バージョン3.5.11から、TWD Industriesは以下の変更を行いました：あなたはあなたの製品に追加することができます：起動時にシステムにインストールされるものを通信するサーバーコンポーネントサーバーコンポーネントが動作している間にアイコンがシステムトレイに表示されますサーバーをアンインストールするように設計されたコンポーネントがありますバージョン3.5.11以降では、「バックドア」タイプの有害なプログラムは扱いません。
	オリジナルへのリンク

Backdoor.Win32.RA-based

技術的な詳細

サーバー

クライアント

サーバーの削除