sobota 19. května 2012

Backdoor:Win32/IRCBot.FY


Encyklopedický vstup
Aktualizováno: 1.3.2012  |  Vydáno: Feb 29, 2012 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.250.0
Vydáno: 18.května 2012
Detekce původně vytvořeny:
Definice: 1.119.662.0
Vydáno: leden 26, 2012


Na této stránce



 

Shrnutí

Backdoor: Win32/IRCbot.FY je členem Win32/IRCbot - široká rodina trojských koní backdoor, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem pomocí dálkového útočník přes IRC.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:
  • c: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe 

  • Přítomnost těchto úprav registru:
  • Přidává hodnotu: "Microsoft"
    Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
    Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

    Přidává hodnotu: "Microsoft"
    Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
    Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

    Přidává hodnotu: "Microsoft"
    Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
    Pro



 

Technické informace (analýza)

Backdoor: Win32/IRCbot.FY je členem Win32/IRCbot - široká rodina trojských koní backdoor, který umožňuje neoprávněný přístup a kontrolu nad napadeným počítačem pomocí dálkového útočník přes IRC.
Instalace
Po spuštění Backdoor: Win32/IRCbot.FY zkopíruje do c: \ documents and settings \ Administrator \ Data aplikací \ lsass.exe .

Malware modifikuje následující položky registru, aby zajistila, že její kopie spustí při každém startu Windows:
Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Přidává hodnotu: "Microsoft"
Vzhledem k objemu dat: "C: \ Documents and Settings \ Administrator \ Data aplikací \ lsass.exe"
Chcete-li podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Se šíří ...
Vyjímatelné disky
Backdoor: Win32/IRCbot.FY zkopíruje do těchto míst na vyměnitelné jednotky:

  • cílený disk >: \ Updates \ drivers \ system.exe

To také klade soubor autorun.inf v kořenovém adresáři cílové jednotky. Tyto soubory autorun.inf obsahovat pokyny pro spuštění operačního systému, takže když je vyměnitelný disk přistupovat z jiného počítače podporující funkci Autorun, je malware automaticky spustí.

Poznámka: Tento červ byl pozorován napsat a vytvořit spustitelný soubor autorun.inf na cílené disku v naší automatizované testovací prostředí. Toto je zvláště obyčejné malware chování, obecně využívány k šíření škodlivého softwaru z počítače do počítače.
Je třeba také poznamenat, že soubory autorun.inf samy o sobě nejsou nutně známky infekce, jako jsou používány legitimními programů a instalačních CD.

Malware může také vytvořit následující soubory na určitá jednotek při nanášení:

  • cílený disk >: \ Updates \ drivers \ Desktop.ini
Užitečná
Upraví nastavení zabezpečení systému
Backdoor: Win32/IRCbot.FY přidá se do seznamu aplikací, které jsou oprávněny k přístupu na internet, aniž by se zastavil u Firewall, tím, že v registru následující úpravy: Přidává hodnotu: "Microsoft" Vzhledem k objemu dat: "C: \ dokumenty a Nastavení \ administrator \ Data aplikací \ lsass.exe " Pro




Umožňuje backdoor přístup a kontrolu
Malware umožňují neoprávněný přístup a kontrolu nad napadeným počítačem. Útočník může provést libovolné množství různých akcí na postiženého počítače pomocí Backdoor: Win32/IRCbot.FY. To by mohlo zahrnovat, ale není omezena, následujících akcí:

  • Stáhnout a spustit libovolný soubor
  • Upload souborů
  • Šířit do dalších počítačů pomocí různých metod šíření
  • Přihlaste se stisky kláves nebo krást citlivá data
  • Měnit nastavení systému
  • Spustit nebo ukončit aplikace
  • Odstranit soubory

Tento malware Popis byl vyroben a zveřejněn pomocí naší automatizované analýzy systému zkoumání souboru SHA139acb10bbd6ea70a017efc3cddad25f1a377bf9c .

Žádné komentáře:

Okomentovat