Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Bu, kendi sistem kaynaklarını gerçek zamanlı olarak yönetmek için uzak bilgisayar (lar) a bağlantı sağlayan tipik bir istemci-sunucu uzaktan yönetim yardımcı programıdır (Symantec tarafından "pcAnywhere" e benzer). Bu yardımcı programın bir "Uzak-Her şey" adı vardır ve TWD Industries şirketi tarafından geliştirilmiş ve dağıtılmıştır (http://www.twd-industries.com).

Bu program Backdoor Trojan olarak algılanır ve sınıflandırılır, çünkü Backdoor davranışını kesinlikle karşılar (bkz. Backdoor ):

sisteme gizli yükleme
aktif olduğunda kendini sistemde tamamen gizler
virüslü bir sistemi uzak bir ana bilgisayardan yönetmeyi sağlar

Bu programın sunucu bileşeni kendini sistemde gizler ve diğer uzak yönetim araçlarından farklı olarak ortalama kullanıcı tarafından görülmez:

standart kurulum ve kaldırma prosedürleri
görünür herhangi bir arayüze sahip olabilirsiniz (örneğin, tepsi çubuğunda bir simge)

Sunucu

Sunucu bileşeni görünür bir yükleme davranışına sahip değildir: herhangi bir ileti olmadan çalıştırıldığında, kendisini (tüm dosya) Windows dizinine SLAVE.EXE adıyla kopyalar ve otomatik çalıştırma bölümünde sistem kayıt defterinde kayıt yapar:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server" = "C: WINDOWS Slave.exe"

Sonuç olarak, sunucu bileşeni her yeniden başlatmada Windows tarafından ve bir kullanıcıya herhangi bir bildirim yapılmadan etkinleştirilecektir.

Müşteri

Bir bilgisayar korsanı, istemci bileşenine göre, virüslü bir bilgisayara bağlanabilir ve üzerinde kontrol sahibi olabilir: bir bilgisayarın masaüstünü gerçek zamanlı olarak izlemek için; enfekte sistemlere komutları klavye ve / veya fare ile göndermek; bir dosya sistemine erişmek için; bilgisayarı yeniden başlatmak veya kapatmak için.

Sunucuyu Kaldırma

Sunucu bileşenini sistemden kaldırmak için, AVP'yi en son güncellemelerle çalıştırmanız ve sunucuyu silmesine izin vermeniz gerekir. Kayıt defteri anahtarını el ile de silmeniz gerekir.

Ayrıca, kayıt defteri anahtarını el ile silebilir, bilgisayarı yeniden yükleyebilir ve Windows dizinindeki SLAVE.EXE sunucu dosyasını silebilirsiniz.

Web sitelerinde TWD Industries tarafından dağıtılan özel bir kaldırma programı da kullanabilirsiniz.

Bu yardımcı program hakkında önemli bilgiler:

3.5.11 ile başlayan TWD Industries, aşağıdaki değişiklikleri yapmıştır:

Ürününüze ekleyebilirsiniz:

başlangıç sırasında, sisteme neyin yükleneceğini bildiren bir sunucu bileşeni

Sunucu bileşeni çalışırken, sistem tepsisinde simgesi belirir

şimdi sunucuyu kaldırmak için tasarlanmış bir bileşen var

Sürüm 3.5.11 ve daha sonra "Backdoor" türünün zararlı programlarını işlemez.

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Backdoor
Platform	Win32
Açıklama	Teknik detaylar Bu, kendi sistem kaynaklarını gerçek zamanlı olarak yönetmek için uzak bilgisayar (lar) a bağlantı sağlayan tipik bir istemci-sunucu uzaktan yönetim yardımcı programıdır (Symantec tarafından "pcAnywhere" e benzer). Bu yardımcı programın bir "Uzak-Her şey" adı vardır ve TWD Industries şirketi tarafından geliştirilmiş ve dağıtılmıştır (http://www.twd-industries.com). Bu program Backdoor Trojan olarak algılanır ve sınıflandırılır, çünkü Backdoor davranışını kesinlikle karşılar (bkz. Backdoor ): sisteme gizli yükleme aktif olduğunda kendini sistemde tamamen gizler virüslü bir sistemi uzak bir ana bilgisayardan yönetmeyi sağlar Bu programın sunucu bileşeni kendini sistemde gizler ve diğer uzak yönetim araçlarından farklı olarak ortalama kullanıcı tarafından görülmez: standart kurulum ve kaldırma prosedürleri görünür herhangi bir arayüze sahip olabilirsiniz (örneğin, tepsi çubuğunda bir simge) Sunucu Sunucu bileşeni görünür bir yükleme davranışına sahip değildir: herhangi bir ileti olmadan çalıştırıldığında, kendisini (tüm dosya) Windows dizinine SLAVE.EXE adıyla kopyalar ve otomatik çalıştırma bölümünde sistem kayıt defterinde kayıt yapar: [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] "RA Server" = "C: WINDOWS Slave.exe" Sonuç olarak, sunucu bileşeni her yeniden başlatmada Windows tarafından ve bir kullanıcıya herhangi bir bildirim yapılmadan etkinleştirilecektir. Müşteri Bir bilgisayar korsanı, istemci bileşenine göre, virüslü bir bilgisayara bağlanabilir ve üzerinde kontrol sahibi olabilir: bir bilgisayarın masaüstünü gerçek zamanlı olarak izlemek için; enfekte sistemlere komutları klavye ve / veya fare ile göndermek; bir dosya sistemine erişmek için; bilgisayarı yeniden başlatmak veya kapatmak için. Sunucuyu Kaldırma Sunucu bileşenini sistemden kaldırmak için, AVP'yi en son güncellemelerle çalıştırmanız ve sunucuyu silmesine izin vermeniz gerekir. Kayıt defteri anahtarını el ile de silmeniz gerekir. Ayrıca, kayıt defteri anahtarını el ile silebilir, bilgisayarı yeniden yükleyebilir ve Windows dizinindeki SLAVE.EXE sunucu dosyasını silebilirsiniz. Web sitelerinde TWD Industries tarafından dağıtılan özel bir kaldırma programı da kullanabilirsiniz. Bu yardımcı program hakkında önemli bilgiler: 3.5.11 ile başlayan TWD Industries, aşağıdaki değişiklikleri yapmıştır: Ürününüze ekleyebilirsiniz: başlangıç sırasında, sisteme neyin yükleneceğini bildiren bir sunucu bileşeni Sunucu bileşeni çalışırken, sistem tepsisinde simgesi belirir şimdi sunucuyu kaldırmak için tasarlanmış bir bileşen var Sürüm 3.5.11 ve daha sonra "Backdoor" türünün zararlı programlarını işlemez.
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Backdoor.Win32.RA-based

Teknik detaylar

Sunucu

Müşteri

Sunucuyu Kaldırma