Продукты:
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Уязвимости Угрозы
Главная Угрозы Backdoor Win32

Backdoor.Win32.RA-based

Класс
Backdoor
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Backdoor

Предназначены для удаленного управления злоумышленником пораженным компьютером. По своим функциям Backdoor во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Подобные вредоносные программы позволяют делать с компьютером все, что в них заложит автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Утилита удаленного управления (администрирования) Remote-Anything, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Исполнена по классической технологии клиент-сервер. Создана компанией TWD Industries (http://www.twd-industries.com). Является аналогом, например, pcAnywhere компании Symantec.

Данная программа классифицируется как "backdoor" по той причине, что она полностью соответствует данному классу вредоносных программ (см.описание Backdoor):

  • скрытно устанавливается в систему
  • во время работы ничем не выдает своего присутствия
  • позволяет незаметно администрировать систему с удаленной машины

Серверная часть данной программы всячески прячет себя и совершенно незаметна в системе, в отличие от прочих аналогичных систем удаленного администрирования, которые имеют:

  • стандартные процедуры инсталляции (и деинсталляции)
  • видимый для пользователя какой-либо интерфейс (например, иконку в трее)

Сервер

Серверная часть программы не имеет инсталлятора: при запуске она незаметно копируется в каталог, где установлена система Windows, под именем SLAVE.EXE и прописывает себя в реестре в секции авто-запуска:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server"="C:\WINDOWS\Slave.exe"

Таким образом, при каждом запуске системы файл SLAVE.EXE активизируется незаметно для пользователя.

Клиент

Злоумышленник, используя клиентскую часть программы, может подключиться к серверу и получить доступ к компьютеру. Он может видеть экран удаленного компьютера и все происходящие изменения на нем, с клавиатуры и с помощью мыши может давать команды компьютеру, к которому подключен. Помимо этого он может получить доступ к файловой системе "жертвы", а также может перезагрузить или выключить удаленный компьютер.

Удаление сервера

Для удаления серверной части с компьютера необдодимо удалить указанный ключ реестра и, перезагрузив компьютер, удалить файл SLAVE.EXE. Можно также воспользоваться утилитой для удаления сервера, которую можно скачать с сайта компании TWD Industries.

Дополнительная информация

Начиная с версии 3.5.11 компания TWD Industries внесла следующие изменения в свой продукт:

  • серверная компонента при запуске сообщает о том, что она будет установлена в систему
  • во время работы серверная компонента отображает иконку в трее панели задач
  • появилась компонента, предназначенная для деинсталляции сервера

Исходя из этого версии 3.5.11 и новее не относятся к вредоносным программам типа Backdoor.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Related articles
11 November 2024
Securelist
Ymir атакует: изучаем новый шифровальщик
06 November 2024
Securelist
Новый троянец SteelFox крадет конфиденциальные данные и криптовалюту
31 October 2024
Securelist
Непослушные нейросети и ленивые мошенники
29 October 2024
Securelist
Насущность снижения рисков: как оценка компрометации помогает укрепить киберзащиту
29 October 2024
Securelist
Lumma/Amadey: запусти шелл-код, чтобы доказать, что ты не робот
23 October 2024
Securelist
Криптовалютная игра от APT Lazarus: инвесторы против уязвимостей нулевого дня
Нашли неточность в описании этой уязвимости?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Нашли новую угрозу или уязвимость?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Продукты
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Select language
Sorting
Угроза
Confirm changes?
Your message has been sent successfully.