BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Şunlar için çözümler:
Ev Ürünleri
Küçük Ölçekli İşletme
Orta Ölçekli İşletme
Büyük Ölçekli İşletme
Zayıf noktalar Tehditler
Ana sayfa Tehditler Backdoor Win32

Backdoor.Win32.RA-based

Sınıf
Backdoor
Platform
Win32

Ana sınıf: TrojWare

Truva atları, kullanıcı tarafından izin verilmeyen eylemleri gerçekleştiren kötü amaçlı programlardır: veriyi siler, engeller, değiştirir veya kopyalarlar ve bilgisayarların veya bilgisayar ağlarının performansını bozarlar. Virüslerden ve solucanlardan farklı olarak, bu kategoriye giren tehditler kendi kopyalarını kopyalayamaz veya kendi kendini kopyalayamaz. Truva atları, enfekte olmuş bir bilgisayarda gerçekleştirdikleri eylem türüne göre sınıflandırılır.

Sınıf: Backdoor

Arka kapılar, kötü niyetli kullanıcıların virüslü bir bilgisayar üzerinde uzaktan denetimini sağlamak için tasarlanmıştır. İşlevsel açıdan, Backdoors, yazılım geliştiricileri tarafından tasarlanan ve dağıtılan birçok yönetim sistemine benzer. Bu tür kötü amaçlı programlar, yazarın virüslü bilgisayarda istediği herhangi bir şeyi yapmasını sağlar: dosya gönderme ve alma, dosyaları başlatma veya silme, mesajları görüntüleme, verileri silme, bilgisayarı yeniden başlatma vb. Bu kategorideki programlar sıklıkla kullanılır. Bir grup kurban bilgisayarını birleştirmek ve bir botnet veya zombi ağı oluşturmak için. Bu, kötü niyetli kullanıcılara, daha sonra, suçlu amaçlar için kullanılabilecek bir virüslü bilgisayar ordusu üzerinde merkezi kontrol sağlar. Ağlar üzerinden yayılabilen ve diğer bilgisayarları Net-Worms gibi etkileyebilen bir Back of grubu da var. Aradaki fark, bu Arka Planların otomatik olarak (Net-Solucanlar yaptığı gibi) yayılmamasıdır, ancak onları kontrol eden kötü niyetli kullanıcının özel bir “komutu” üzerinedir.

Platform: Win32

Win32, 32-bit uygulamaların yürütülmesini destekleyen Windows NT tabanlı işletim sistemlerinde (Windows XP, Windows 7, vb.) Bir API'dir. Dünyanın en yaygın programlama platformlarından biri.

Açıklama

Teknik detaylar

Bu, kendi sistem kaynaklarını gerçek zamanlı olarak yönetmek için uzak bilgisayar (lar) a bağlantı sağlayan tipik bir istemci-sunucu uzaktan yönetim yardımcı programıdır (Symantec tarafından "pcAnywhere" e benzer). Bu yardımcı programın bir "Uzak-Her şey" adı vardır ve TWD Industries şirketi tarafından geliştirilmiş ve dağıtılmıştır (http://www.twd-industries.com).

Bu program Backdoor Trojan olarak algılanır ve sınıflandırılır, çünkü Backdoor davranışını kesinlikle karşılar (bkz. Backdoor ):

  • sisteme gizli yükleme
  • aktif olduğunda kendini sistemde tamamen gizler
  • virüslü bir sistemi uzak bir ana bilgisayardan yönetmeyi sağlar

Bu programın sunucu bileşeni kendini sistemde gizler ve diğer uzak yönetim araçlarından farklı olarak ortalama kullanıcı tarafından görülmez:

  • standart kurulum ve kaldırma prosedürleri
  • görünür herhangi bir arayüze sahip olabilirsiniz (örneğin, tepsi çubuğunda bir simge)

Sunucu

Sunucu bileşeni görünür bir yükleme davranışına sahip değildir: herhangi bir ileti olmadan çalıştırıldığında, kendisini (tüm dosya) Windows dizinine SLAVE.EXE adıyla kopyalar ve otomatik çalıştırma bölümünde sistem kayıt defterinde kayıt yapar:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server" = "C: WINDOWS Slave.exe"

Sonuç olarak, sunucu bileşeni her yeniden başlatmada Windows tarafından ve bir kullanıcıya herhangi bir bildirim yapılmadan etkinleştirilecektir.

Müşteri

Bir bilgisayar korsanı, istemci bileşenine göre, virüslü bir bilgisayara bağlanabilir ve üzerinde kontrol sahibi olabilir: bir bilgisayarın masaüstünü gerçek zamanlı olarak izlemek için; enfekte sistemlere komutları klavye ve / veya fare ile göndermek; bir dosya sistemine erişmek için; bilgisayarı yeniden başlatmak veya kapatmak için.

Sunucuyu Kaldırma

Sunucu bileşenini sistemden kaldırmak için, AVP'yi en son güncellemelerle çalıştırmanız ve sunucuyu silmesine izin vermeniz gerekir. Kayıt defteri anahtarını el ile de silmeniz gerekir.

Ayrıca, kayıt defteri anahtarını el ile silebilir, bilgisayarı yeniden yükleyebilir ve Windows dizinindeki SLAVE.EXE sunucu dosyasını silebilirsiniz.

Web sitelerinde TWD Industries tarafından dağıtılan özel bir kaldırma programı da kullanabilirsiniz.

Bu yardımcı program hakkında önemli bilgiler:

3.5.11 ile başlayan TWD Industries, aşağıdaki değişiklikleri yapmıştır:

Ürününüze ekleyebilirsiniz:

  • başlangıç ​​sırasında, sisteme neyin yükleneceğini bildiren bir sunucu bileşeni
  • Sunucu bileşeni çalışırken, sistem tepsisinde simgesi belirir
  • şimdi sunucuyu kaldırmak için tasarlanmış bir bileşen var

    Sürüm 3.5.11 ve daha sonra "Backdoor" türünün zararlı programlarını işlemez.

    Daha fazlasını okuyun

    Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

    Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
    • Yeni Kaspersky!
    Dijital hayatınız güçlü korumayı hak ediyor!
    Daha fazla bilgi edin
    Kaspersky IT Security Calculator
    Daha fazla bilgi edin
    Related articles
    24 April 2024
    Securelist
    Assessing the Y, and How, of the XZ Utils incident
    22 April 2024
    Securelist
    ToddyCat is making holes in your infrastructure
    18 April 2024
    Securelist
    DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
    17 April 2024
    Securelist
    SoumniBot: the new Android banker’s unique techniques
    15 April 2024
    Securelist
    Using the LockBit builder to generate targeted ransomware
    12 April 2024
    Securelist
    XZ backdoor story – Initial analysis
    Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz?
    Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
    newvirus@kaspersky.com
    Yeni bir Tehdit ya da Güvenlik Açığı mı tespit ettiniz?
    Eğer yeni bir Tehdit ya da Güvenlik Açığı tespit ettiyseniz lütfen e-posta ile bize bildirin:
    newvirus@kaspersky.com
    Şunlar için çözümler
    Ev Ürünleri
    Küçük Ölçekli İşletme
    Orta Ölçekli İşletme
    Büyük Ölçekli İşletme
    Select language
    Sorting
    Tehdit
    Confirm changes?
    Your message has been sent successfully.