Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Esta es una típica utilidad de administración remota cliente-servidor que permite la conexión a computadoras remotas para administrar sus (sus) recursos del sistema en tiempo real (similar a "pcAnywhere" por Symantec). Esta utilidad tiene el nombre "Remote-Anything" y es desarrollada y distribuida por la empresa TWD Industries (http://www.twd-industries.com).

Este programa se detecta y clasifica como un troyano de puerta trasera, ya que cumple absolutamente con el comportamiento de puerta trasera (ver puerta trasera ):

instalación oculta en el sistema
se oculta completamente en el sistema cuando está activo
permite administrar un sistema infectado desde un host remoto

El componente de servidor de este programa se oculta en el sistema y no es visible para el usuario promedio a diferencia de otras herramientas de administración remota que:

tener una instalación estándar y procedimientos de desinstalación
tiene una interfaz visible (un icono en la barra de la bandeja, por ejemplo)

El servidor

El componente del servidor no tiene ningún comportamiento de instalación visible: cuando se ejecuta sin ningún mensaje, se copia a sí mismo (el archivo completo) en el directorio de Windows con el nombre SLAVE.EXE y se registra en el registro del sistema en la sección de ejecución automática:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Servidor RA" = "C: WINDOWS Slave.exe"

Como resultado, el componente del servidor se activará por Windows en cada reinicio y sin ninguna notificación a un usuario.

El cliente

Un hacker, por componente del cliente, puede conectarse a una computadora infectada y tiene control sobre ella: para ver el escritorio de una computadora en tiempo real; para enviar comandos a los sistemas infectados por teclado y / o mouse; para acceder a un sistema de archivos; para reiniciar o apagar la computadora.

Removiendo el Servidor

Para eliminar el componente del servidor del sistema, debe ejecutar AVP con las últimas actualizaciones y dejar que elimine el servidor. También debe eliminar la clave de registro de forma manual.

También puede eliminar manualmente la clave de registro, reiniciar la computadora y eliminar el archivo de servidor SLAVE.EXE en el directorio de Windows.

También puede usar una utilidad de eliminación especial que distribuye TWD Industries en su sitio web.

Información importante acerca de esta utilidad:

A partir de la versión 3.5.11, TWD Industries ha realizado los siguientes cambios:

Puedes agregar a tu producto:

un componente de servidor que, durante el inicio, comunica qué se instalará en el sistema

mientras el componente del servidor está funcionando su ícono aparece en la bandeja del sistema

ahora hay un componente diseñado para desinstalar el servidor

La versión 3.5.11 y posteriores no tratan programas dañinos del tipo "Backdoor".

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Backdoor
Plataforma	Win32
Descripción	Detalles técnicos Esta es una típica utilidad de administración remota cliente-servidor que permite la conexión a computadoras remotas para administrar sus (sus) recursos del sistema en tiempo real (similar a "pcAnywhere" por Symantec). Esta utilidad tiene el nombre "Remote-Anything" y es desarrollada y distribuida por la empresa TWD Industries (http://www.twd-industries.com). Este programa se detecta y clasifica como un troyano de puerta trasera, ya que cumple absolutamente con el comportamiento de puerta trasera (ver puerta trasera ): instalación oculta en el sistema se oculta completamente en el sistema cuando está activo permite administrar un sistema infectado desde un host remoto El componente de servidor de este programa se oculta en el sistema y no es visible para el usuario promedio a diferencia de otras herramientas de administración remota que: tener una instalación estándar y procedimientos de desinstalación tiene una interfaz visible (un icono en la barra de la bandeja, por ejemplo) El servidor El componente del servidor no tiene ningún comportamiento de instalación visible: cuando se ejecuta sin ningún mensaje, se copia a sí mismo (el archivo completo) en el directorio de Windows con el nombre SLAVE.EXE y se registra en el registro del sistema en la sección de ejecución automática: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "Servidor RA" = "C: WINDOWS Slave.exe" Como resultado, el componente del servidor se activará por Windows en cada reinicio y sin ninguna notificación a un usuario. El cliente Un hacker, por componente del cliente, puede conectarse a una computadora infectada y tiene control sobre ella: para ver el escritorio de una computadora en tiempo real; para enviar comandos a los sistemas infectados por teclado y / o mouse; para acceder a un sistema de archivos; para reiniciar o apagar la computadora. Removiendo el Servidor Para eliminar el componente del servidor del sistema, debe ejecutar AVP con las últimas actualizaciones y dejar que elimine el servidor. También debe eliminar la clave de registro de forma manual. También puede eliminar manualmente la clave de registro, reiniciar la computadora y eliminar el archivo de servidor SLAVE.EXE en el directorio de Windows. También puede usar una utilidad de eliminación especial que distribuye TWD Industries en su sitio web. Información importante acerca de esta utilidad: A partir de la versión 3.5.11, TWD Industries ha realizado los siguientes cambios: Puedes agregar a tu producto: un componente de servidor que, durante el inicio, comunica qué se instalará en el sistema mientras el componente del servidor está funcionando su ícono aparece en la bandeja del sistema ahora hay un componente diseñado para desinstalar el servidor La versión 3.5.11 y posteriores no tratan programas dañinos del tipo "Backdoor".
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Backdoor.Win32.RA-based

Detalles técnicos

El servidor

El cliente

Removiendo el Servidor