Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Утилита удаленного управления (администрирования) Remote-Anything, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Исполнена по классической технологии клиент-сервер.
Создана компанией TWD Industries (http://www.twd-industries.com). Является аналогом, например, pcAnywhere компании Symantec.

Данная программа классифицируется как «backdoor» по той причине, что она полностью соответствует данному классу вредоносных программ (см.описание Backdoor):

скрытно устанавливается в систему
во время работы ничем не выдает своего присутствия
позволяет незаметно администрировать систему с удаленной машины

Серверная часть данной программы всячески прячет себя и совершенно незаметна в системе, в отличие от прочих аналогичных систем удаленного администрирования, которые имеют:

стандартные процедуры инсталляции (и деинсталляции)
видимый для пользователя какой-либо интерфейс (например, иконку в трее)

Сервер

Серверная часть программы не имеет инсталлятора: при запуске она незаметно копируется в каталог, где установлена система Windows, под именем SLAVE.EXE и прописывает себя в реестре в секции авто-запуска:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
«RA Server»=»C:\WINDOWS\Slave.exe»

Таким образом, при каждом запуске системы файл SLAVE.EXE активизируется незаметно для пользователя.

Клиент

Злоумышленник, используя клиентскую часть программы, может подключиться к серверу и получить доступ к компьютеру. Он может видеть экран удаленного компьютера и все происходящие изменения на нем, с клавиатуры и с помощью мыши может давать команды компьютеру, к которому подключен. Помимо этого он может получить доступ к файловой системе «жертвы», а также может перезагрузить или выключить удаленный компьютер.

Удаление сервера

Для удаления серверной части с компьютера необдодимо удалить указанный ключ реестра и, перезагрузив компьютер, удалить файл SLAVE.EXE. Можно также воспользоваться утилитой для удаления сервера, которую можно скачать
с сайта компании TWD Industries.

Дополнительная информация

Начиная с версии 3.5.11 компания TWD Industries внесла следующие изменения в свой продукт:

серверная компонента при запуске сообщает о том, что она будет установлена в систему
во время работы серверная компонента отображает иконку в трее панели задач
появилась компонента, предназначенная для деинсталляции сервера

Исходя из этого версии 3.5.11 и новее не относятся к вредоносным программам типа Backdoor.

Узнай статистику распространения угроз в твоем регионе

Класс	Backdoor
Платформа	Win32
Описание	Technical Details Утилита удаленного управления (администрирования) Remote-Anything, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Исполнена по классической технологии клиент-сервер. Создана компанией TWD Industries (http://www.twd-industries.com). Является аналогом, например, pcAnywhere компании Symantec. Данная программа классифицируется как «backdoor» по той причине, что она полностью соответствует данному классу вредоносных программ (см.описание Backdoor): скрытно устанавливается в систему во время работы ничем не выдает своего присутствия позволяет незаметно администрировать систему с удаленной машины Серверная часть данной программы всячески прячет себя и совершенно незаметна в системе, в отличие от прочих аналогичных систем удаленного администрирования, которые имеют: стандартные процедуры инсталляции (и деинсталляции) видимый для пользователя какой-либо интерфейс (например, иконку в трее) Сервер Серверная часть программы не имеет инсталлятора: при запуске она незаметно копируется в каталог, где установлена система Windows, под именем SLAVE.EXE и прописывает себя в реестре в секции авто-запуска: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] «RA Server»=»C:\WINDOWS\Slave.exe» Таким образом, при каждом запуске системы файл SLAVE.EXE активизируется незаметно для пользователя. Клиент Злоумышленник, используя клиентскую часть программы, может подключиться к серверу и получить доступ к компьютеру. Он может видеть экран удаленного компьютера и все происходящие изменения на нем, с клавиатуры и с помощью мыши может давать команды компьютеру, к которому подключен. Помимо этого он может получить доступ к файловой системе «жертвы», а также может перезагрузить или выключить удаленный компьютер. Удаление сервера Для удаления серверной части с компьютера необдодимо удалить указанный ключ реестра и, перезагрузив компьютер, удалить файл SLAVE.EXE. Можно также воспользоваться утилитой для удаления сервера, которую можно скачать с сайта компании TWD Industries. Дополнительная информация Начиная с версии 3.5.11 компания TWD Industries внесла следующие изменения в свой продукт: серверная компонента при запуске сообщает о том, что она будет установлена в систему во время работы серверная компонента отображает иконку в трее панели задач появилась компонента, предназначенная для деинсталляции сервера Исходя из этого версии 3.5.11 и новее не относятся к вредоносным программам типа Backdoor.
	Узнай статистику распространения угроз в твоем регионе

Backdoor.Win32.RA-based

Technical Details

Сервер

Клиент

Удаление сервера

Дополнительная информация