BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Backdoor.Win32.RA-based

Sınıf Backdoor
Platform Win32
Açıklama

Teknik detaylar

Bu, kendi sistem kaynaklarını gerçek zamanlı olarak yönetmek için uzak bilgisayar (lar) a bağlantı sağlayan tipik bir istemci-sunucu uzaktan yönetim yardımcı programıdır (Symantec tarafından "pcAnywhere" e benzer). Bu yardımcı programın bir "Uzak-Her şey" adı vardır ve TWD Industries şirketi tarafından geliştirilmiş ve dağıtılmıştır (http://www.twd-industries.com).

Bu program Backdoor Trojan olarak algılanır ve sınıflandırılır, çünkü Backdoor davranışını kesinlikle karşılar (bkz. Backdoor ):

  • sisteme gizli yükleme
  • aktif olduğunda kendini sistemde tamamen gizler
  • virüslü bir sistemi uzak bir ana bilgisayardan yönetmeyi sağlar

Bu programın sunucu bileşeni kendini sistemde gizler ve diğer uzak yönetim araçlarından farklı olarak ortalama kullanıcı tarafından görülmez:

  • standart kurulum ve kaldırma prosedürleri
  • görünür herhangi bir arayüze sahip olabilirsiniz (örneğin, tepsi çubuğunda bir simge)

Sunucu

Sunucu bileşeni görünür bir yükleme davranışına sahip değildir: herhangi bir ileti olmadan çalıştırıldığında, kendisini (tüm dosya) Windows dizinine SLAVE.EXE adıyla kopyalar ve otomatik çalıştırma bölümünde sistem kayıt defterinde kayıt yapar:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"RA Server" = "C: WINDOWS Slave.exe"

Sonuç olarak, sunucu bileşeni her yeniden başlatmada Windows tarafından ve bir kullanıcıya herhangi bir bildirim yapılmadan etkinleştirilecektir.

Müşteri

Bir bilgisayar korsanı, istemci bileşenine göre, virüslü bir bilgisayara bağlanabilir ve üzerinde kontrol sahibi olabilir: bir bilgisayarın masaüstünü gerçek zamanlı olarak izlemek için; enfekte sistemlere komutları klavye ve / veya fare ile göndermek; bir dosya sistemine erişmek için; bilgisayarı yeniden başlatmak veya kapatmak için.

Sunucuyu Kaldırma

Sunucu bileşenini sistemden kaldırmak için, AVP'yi en son güncellemelerle çalıştırmanız ve sunucuyu silmesine izin vermeniz gerekir. Kayıt defteri anahtarını el ile de silmeniz gerekir.

Ayrıca, kayıt defteri anahtarını el ile silebilir, bilgisayarı yeniden yükleyebilir ve Windows dizinindeki SLAVE.EXE sunucu dosyasını silebilirsiniz.

Web sitelerinde TWD Industries tarafından dağıtılan özel bir kaldırma programı da kullanabilirsiniz.

Bu yardımcı program hakkında önemli bilgiler:

3.5.11 ile başlayan TWD Industries, aşağıdaki değişiklikleri yapmıştır:

Ürününüze ekleyebilirsiniz:

  • başlangıç ​​sırasında, sisteme neyin yükleneceğini bildiren bir sunucu bileşeni
  • Sunucu bileşeni çalışırken, sistem tepsisinde simgesi belirir
  • şimdi sunucuyu kaldırmak için tasarlanmış bir bileşen var

    Sürüm 3.5.11 ve daha sonra "Backdoor" türünün zararlı programlarını işlemez.


  • Orijinaline link