ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Backdoor.Win32.RA-based

Clase Backdoor
Plataforma Win32
Descripción

Detalles técnicos

Esta es una típica utilidad de administración remota cliente-servidor que permite la conexión a computadoras remotas para administrar sus (sus) recursos del sistema en tiempo real (similar a "pcAnywhere" por Symantec). Esta utilidad tiene el nombre "Remote-Anything" y es desarrollada y distribuida por la empresa TWD Industries (http://www.twd-industries.com).

Este programa se detecta y clasifica como un troyano de puerta trasera, ya que cumple absolutamente con el comportamiento de puerta trasera (ver puerta trasera ):

  • instalación oculta en el sistema
  • se oculta completamente en el sistema cuando está activo
  • permite administrar un sistema infectado desde un host remoto

El componente de servidor de este programa se oculta en el sistema y no es visible para el usuario promedio a diferencia de otras herramientas de administración remota que:

  • tener una instalación estándar y procedimientos de desinstalación
  • tiene una interfaz visible (un icono en la barra de la bandeja, por ejemplo)

El servidor

El componente del servidor no tiene ningún comportamiento de instalación visible: cuando se ejecuta sin ningún mensaje, se copia a sí mismo (el archivo completo) en el directorio de Windows con el nombre SLAVE.EXE y se registra en el registro del sistema en la sección de ejecución automática:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Servidor RA" = "C: WINDOWS Slave.exe"

Como resultado, el componente del servidor se activará por Windows en cada reinicio y sin ninguna notificación a un usuario.

El cliente

Un hacker, por componente del cliente, puede conectarse a una computadora infectada y tiene control sobre ella: para ver el escritorio de una computadora en tiempo real; para enviar comandos a los sistemas infectados por teclado y / o mouse; para acceder a un sistema de archivos; para reiniciar o apagar la computadora.

Removiendo el Servidor

Para eliminar el componente del servidor del sistema, debe ejecutar AVP con las últimas actualizaciones y dejar que elimine el servidor. También debe eliminar la clave de registro de forma manual.

También puede eliminar manualmente la clave de registro, reiniciar la computadora y eliminar el archivo de servidor SLAVE.EXE en el directorio de Windows.

También puede usar una utilidad de eliminación especial que distribuye TWD Industries en su sitio web.

Información importante acerca de esta utilidad:

A partir de la versión 3.5.11, TWD Industries ha realizado los siguientes cambios:

Puedes agregar a tu producto:

  • un componente de servidor que, durante el inicio, comunica qué se instalará en el sistema
  • mientras el componente del servidor está funcionando su ícono aparece en la bandeja del sistema
  • ahora hay un componente diseñado para desinstalar el servidor

    La versión 3.5.11 y posteriores no tratan programas dañinos del tipo "Backdoor".


  • Enlace al original