Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Backdoor
Предназначены для удаленного управления злоумышленником пораженным компьютером. По своим функциям Backdoor во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Подобные вредоносные программы позволяют делать с компьютером все, что в них заложит автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Программа обеспечивает злоумышленнику неавторизованный доступ к зараженной машине (Backdoor). Также может закачивать на компьютер другие троянские программы (Trojan-Downloader), а некоторые модификации — шпиона для похищения конфиденциальной информации, например, паролей. Версия «gen» означает, что в это детектирование включается множество вариантов данной программы.
При запуске создает объекты синхронизации (mutex) с именами «WDOZER» и «hey», с помощью которых и определяет, запущена ли она. После этого производит инсталляцию себя в систему, с копированием своего тела в системный каталог MS Windows и добавлением ключей реестра для своей автозагрузки. Имена файлов и ключей выбираются случайным образом.
Кроме традиционного функционала бэкдора, создает канал (pipe) к командному процессору (cmd.exe), что значительно расширяет возможности злоумышленника.
Особенностью функции Trojan-Downloader является то, что после закачки файлов производится чистка URL-кеша браузера — своего рода, заметание следов.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com