Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Backdoor
Предназначены для удаленного управления злоумышленником пораженным компьютером. По своим функциям Backdoor во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Подобные вредоносные программы позволяют делать с компьютером все, что в них заложит автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые бот-сети/зомби-сети, что позволяет злоумышленникам централизованно управлять всей армией пораженных компьютеров для совершения злонамеренных действий. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.Подробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Backdoor.Rbot - семейство троянских программ для ОС Windows, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC. Обладают, в частности, следующей функциональностью:
мониторинг сети в поисках "интересных" пакетов (например, содержащих пароли к FTP-серверам, платёжной системе PayPal и т.п.);
сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (RPC DCOM, UPnP, WebDAV и др.); машин, заражённых троянскими программами (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven и др.) и троянскими компонентами червей (I-Worm.MyDoom, I-Worm.Bagle); а также машин со "слабыми" системными паролями;
проведение DoS-атак;
запуск на заражённой машине SOCKS- и HTTP-серверов;
отсылка злоумышелннику подробной информации о системе, в том числе паролей для некоторых компьютерных игр.
Каждые 50 миллисекунд бэкдор создает потоки, через которые (в случае доступности сети) выполняется соеднение с серверами:
www.starman.ee www.if.ee
После 256 произведенных соединений, в случае сообщения каким-либо сервером об ошибке, связанной с временной недоступностью ресурса, происходит полусекундная пауза в создании соединений.
Бэкдор размножается при помощи использования уязвимости Microsoft Windows DCOM RPС (MS03-026).
Вирус совершает процедуры отбора IP-адресов для атаки и, в случае наличия на атакуемом компьютере указанной уязвимости, запускает в его системе вредоносный код.
В противном случае бэкдор производит попытки подбора следующих паролей для подключения под логинами Administrator и Admin:
Admin root asdfgh password 00 000 0000 00000 000000 0000000 00000000 1 12 123 1234 12345 123456 1234567 12345678 123456789 secret secure security setup shadow shit sql super sys system abc123 access adm alpha anon anonymous backdoor backup beta bin coffee computer crew database debug default demo X go guest hello install internet login mail manager money monitor network new newpass nick nobody nopass oracle pass passwd server poiuytre private public qwerty random real remote ruler telnet temp test test1 test2 visitor windows
В случае успешного подключения к атакуемой машине троянец копирует свой исполняемый файл в системный каталог Windows и запускает его на исполнение.
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com