Класс
Backdoor
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Backdoor

Предназначены для удаленного управления злоумышленником пораженным компьютером. По своим функциям Backdoor во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Подобные вредоносные программы позволяют делать с компьютером все, что в них заложит автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Removal instructions

  1. В «Диспетчере задач» завершить троянский процесс.
  2. Удалить оригинальный файл бекдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Technical Details

Троянская программа, предназначенная для удаленного управления компьютером. Состоит из двух частей: клиентской и серверной.

Серверная часть написана на Microsoft Visual C++, ничем не упакована и имеет размер 28672 байта. Клиентская часть написана на Microsoft Visual C++, ничем не упакована и имеет размер 32768 байт.

Payload

Клиентская часть запускается на компьютере злоумышленника и позволяет отправлять команды серверной части, установленной на компьютере жертвы. В качестве параметра при запуске необходимо указать адрес заражённой машины.

Содержит следующие строки:

AckCmd 1.1 - The Ack Command Prompt for Windows 2000
- (c) 2000, **** Vidstrom, ****.vidstrom@****curity.nu
- For instructions see http://****curity.nu/toolbox/ackcmd/

Серверная часть позволяет злоумышленнику открыть удалённую командную строку на заражённом компьютере и удалённо запускать любые команды из этой строки на заражённом компьютере.

Особенность этого бекдора в том, что для связи он использует только ACK-пакеты. В данном случае стандартное соединение не происходит, а сразу передаются данные, причём через ACK-пакеты. Эта особенность позволяет троянцу обходить некоторые межсетевые экраны.

Бекдор не имеет никаких функций для размножения.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.