Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Vydáno: březen 21, 2005 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Vydáno: březen 21, 2005 Aliasy
-
Win32/IRCBot.worm.variant (AhnLab)
- W32/Ircbot.1!Generic (Command)
- Win32/Rbot!generic (CA)
- Win32/Rbot.Y (ESET)
- Backdoor.Win32.Rbot.gen (Kaspersky)
- W32/Sdbot.worm.gen.g (McAfee)
- W32/Spybot.BPUM (Norman)
- W32/Rbot-GR (Sophos)
- W32.Spybot.Worm (Symantec)
- WORM_SPYBOT.GEN (Trend Micro)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.125.1799.0 Vydáno: 14.května 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
Backdoor:Win32/Rbotje rodina trojských koní, které backdoor umožňuje útočníkům ovládat infikovaných počítačů. Poté, co je počítač napaden, Trojan se připojí k určitému IRC serveru a připojí určitý kanál přijímat příkazy z útočníků. Příkazy může pověřit Trojan šířit do dalších počítačů pomocí skenování sítě akcie se slabými hesly, využívání zranitelnosti systému Windows a šíří backdoor otevřených portů jinými rodinami škodlivého softwaru. Trojan může také dovolit útočníkům provádět další backdoor funkce, jako je zahájení odmítnutí útoků Service (DoS) a získávání informací o systému z infikovaných počítačů.
Příznaky
Váš počítač může být napaden Backdoor:Win32/Rbot varianta pokud máte jeden nebo více z následujících příznaků:
- Operační systém vypne po zobrazení dialogového okna, která se podobá následující:
- Zobrazí se chybové hlášení LSA Shell dialogové okno, které se podobá následující:
- Váš počítač se restartuje bez zásahu uživatele. Můžete vidět vypnutí systému dialogové okno, které se podobá následující:
Technické informace (analýza)
Backdoor:Win32/Rbotje rodina trojských koní, které backdoor umožňuje útočníkům ovládat infikovaných počítačů. Poté, co je počítač napaden, Trojan se připojí k určitému IRC serveru a připojí určitý kanál přijímat příkazy z útočníků. Příkazy může pověřit Trojan šířit do dalších počítačů pomocí skenování sítě akcie se slabými hesly, využívání zranitelnosti systému Windows a šíří backdoor otevřených portů jinými rodinami škodlivého softwaru. Trojan může také dovolit útočníkům provádět další backdoor funkce, jako je zahájení odmítnutí útoků Service (DoS) a získávání informací o systému z infikovaných počítačů.
Kdy Backdoor:Win32/Rbotběhy, zkopíruje se do% windir% nebo méně než systémové složky >. V mnoha případech se přidává hodnotu k jednomu nebo více z následujících klíčů registru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Tato změna způsobí, že Trojan spustit kdykoliv spuštění systému Windows. Některé varianty také přidat službu systému Windows pro dosažení podobných výsledků.
Backdoor:Win32/Rbotpřipojí k IRC serveru a začne pracovat pro určitý kanál přijímat příkazy. Příkazy mohou zahrnovat akce jako například:
- Skenování neopravených počítače v síti.
- Skenování portů v síti.
- Stahování a spouštění vzdálených souborů.
- Sledování síťového provozu.
- Spuštění HTTP / httpd a SOCKS4 a TFTP / FTP servery.
- Povolení nebo zakázání modelu DCOM protokol.
- Načítání počítače informace o konfiguraci, včetně informací přihlášení do Windows a informace o uživatelském účtu, otevřené akcií, souborový systém informací, a připojení k síti informace.
- Přihlášení stisky kláves.
- Načtení CD klíče od her.
- Zachycení obrazovky a Webcam snímků.
- Přesměrování TCP provoz.
- Nahrávání souborů přes FTP.
- Odeslání e-mailu.
- Manipulaci s procesy a služby.
- Vedení odmítnutí útoků Service (DoS).
Po obdržení IRC příkazy, může Trojan šířit do vzdálených počítačích tím, že využívá jednu nebo více Windows chyby. Win32/Rbot se mohou šířit do vzdálených počítačů a snaží slabá hesla, že vyvozuje ze seznamu. Trojan mohou využívat MS03-026, náchylnost k vytvoření vzdáleného shellu na cílovém počítači. Trojan používá Vzdálený shell zkopírovat a spustit se na vzdáleném počítači. Trojan může být poučeni pomocí příkazů na IRC šíří backdoor přístavů otevřených Mydoom, Bagle a Optix a Netdevil a další škodlivý software rodiny.
Některé varianty Trojan ukončit bezpečnosti-příbuzné produkty. Později varianty Trojan mohou aktivovat webové kamery, nebo nainstalovat kernel-mode rootkit ovladač, který skryje Trojan proces od Správce úloh a dalších procesů divácké aplikace.
Žádné komentáře:
Okomentovat