středa 9. května 2012

Backdoor:Win32/Dedipros.A


Shrnutí

Backdoor:Win32/Zegost.Z je trojan, který komunikuje se serverem velení a řízení, aby neoprávněný přístup a kontrolu nad vaším počítačem.


 

Příznaky

Nejsou žádné běžné příznaky spojené s touto hrozbou. Varovná oznámení z nainstalovaný antivirový software, může být pouze příznaky.
 


 

Technické informace (analýza)

Backdoor:Win32/Zegost.Z je trojan, který komunikuje se serverem velení a řízení, aby neoprávněný přístup a kontrolu nad vaším počítačem.
Instalace
Pokud tento trojan je spuštěn, to klesne kopii Dedipros do Windows systémová složka, jako v následujícím příkladu:
  • C:\Windows\System32\nwcworkstationex.dll
Během instalace Trojan, data registru je upraven tak, aby spuštění malware při spuštění Windows.
V podklíč: HKLM\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
Nastaví hodnotu: "ServiceDll"
Chcete-li data: "<system folder>\nwcworkstationex.dll"
V podklíč: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
Nastaví hodnotu: "netsvcs"
Chcete-li data: " <Předchozí data> <malware služby name> " 
Originál trojan se zrušuje, když trojský kůň spuštění služby.
Užitečná
Komunikuje se vzdáleným serverem
Backdoor:Win32/Zegost.Z pokouší se připojit ke vzdálenému serveru, velení a řízení přijímat pokyny, které vykonává další náklad, například následující:
  • Zahájit proces
  • Vymazání protokolu událostí systému
  • Restartujte počítač
  • Ukončit vlákno
  • Odstranění souboru
  • Vložení škodlivého obsahu do běžícího procesu
  • Stáhnout a spustit libovolný program vydáním příkazového řádku parametr "Spider update"
Jsme pozorovali tento trojan kontaktovat tyto servery pro tento účel:
  • 222.247.50.11:8000
  • jesso.3322.org:7102

Žádné komentáře:

Okomentovat