Bezpečné PC: Backdoor:Win32/Rbot

sobota 19. května 2012

Backdoor:Win32/Rbot

Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Vydáno: březen 21, 2005 Aliasy

Win32/IRCBot.worm.variant

AhnLab

W32/Ircbot.1!Generic (Command)
Win32/Rbot!generic (CA)
Win32/Rbot.Y (ESET)
Backdoor.Win32.Rbot.gen (Kaspersky)
W32/Sdbot.worm.gen.g (McAfee)
W32/Spybot.BPUM (Norman)
W32/Rbot-GR (Sophos)
W32.Spybot.Worm (Symantec)
WORM_SPYBOT.GEN (Trend Micro)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.125.1799.0
Vydáno: 14.května 2012

Detekce původně vytvořeny:
Definice: 1.45.287.0
Datum vydání: Říjen 07, 2008

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

Backdoor:Win32/Rbotje rodina trojských koní, které backdoor umožňuje útočníkům ovládat infikovaných počítačů. Poté, co je počítač napaden, Trojan se připojí k určitému IRC serveru a připojí určitý kanál přijímat příkazy z útočníků. Příkazy může pověřit Trojan šířit do dalších počítačů pomocí skenování sítě akcie se slabými hesly, využívání zranitelnosti systému Windows a šíří backdoor otevřených portů jinými rodinami škodlivého softwaru. Trojan může také dovolit útočníkům provádět další backdoor funkce, jako je zahájení odmítnutí útoků Service (DoS) a získávání informací o systému z infikovaných počítačů.

Top

Příznaky

Váš počítač může být napaden Backdoor:Win32/Rbot varianta pokud máte jeden nebo více z následujících příznaků:

Operační systém vypne po zobrazení dialogového okna, která se podobá následující:
Zobrazí se chybové hlášení LSA Shell dialogové okno, které se podobá následující:
Váš počítač se restartuje bez zásahu uživatele. Můžete vidět vypnutí systému dialogové okno, které se podobá následující:

Top

Technické informace (analýza)

Kdy Backdoor:Win32/Rbotběhy, zkopíruje se do% windir% nebo méně než systémové složky >. V mnoha případech se přidává hodnotu k jednomu nebo více z následujících klíčů registru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices

Tato změna způsobí, že Trojan spustit kdykoliv spuštění systému Windows. Některé varianty také přidat službu systému Windows pro dosažení podobných výsledků.

Backdoor:Win32/Rbotpřipojí k IRC serveru a začne pracovat pro určitý kanál přijímat příkazy. Příkazy mohou zahrnovat akce jako například:

Skenování neopravených počítače v síti.
Skenování portů v síti.
Stahování a spouštění vzdálených souborů.
Sledování síťového provozu.
Spuštění HTTP / httpd a SOCKS4 a TFTP / FTP servery.
Povolení nebo zakázání modelu DCOM protokol.
Načítání počítače informace o konfiguraci, včetně informací přihlášení do Windows a informace o uživatelském účtu, otevřené akcií, souborový systém informací, a připojení k síti informace.
Přihlášení stisky kláves.
Načtení CD klíče od her.
Zachycení obrazovky a Webcam snímků.
Přesměrování TCP provoz.
Nahrávání souborů přes FTP.
Odeslání e-mailu.
Manipulaci s procesy a služby.
Vedení odmítnutí útoků Service (DoS).

Po obdržení IRC příkazy, může Trojan šířit do vzdálených počítačích tím, že využívá jednu nebo více Windows chyby. Win32/Rbot se mohou šířit do vzdálených počítačů a snaží slabá hesla, že vyvozuje ze seznamu. Trojan mohou využívat MS03-026, náchylnost k vytvoření vzdáleného shellu na cílovém počítači. Trojan používá Vzdálený shell zkopírovat a spustit se na vzdáleném počítači. Trojan může být poučeni pomocí příkazů na IRC šíří backdoor přístavů otevřených Mydoom, Bagle a Optix a Netdevil a další škodlivý software rodiny.

Některé varianty Trojan ukončit bezpečnosti-příbuzné produkty. Později varianty Trojan mohou aktivovat webové kamery, nebo nainstalovat kernel-mode rootkit ovladač, který skryje Trojan proces od Správce úloh a dalších procesů divácké aplikace.

Bezpečné PC