Briba

Backdoor.Briba is a Trojan horse that opens a back door on the compromised computer. 

Symantec Security Response is currently investigating this threat and will post more information as it becomes available. 

Backdoor.Vasport

Backdoor.Vasport je trojský kůň, který otevře zadní dveře na ohrožena počítače. 

Při spuštění Trojan, zkopíruje se jako následující soubor: 
% USERPROFILE% \ Application Data \ conime.exe Poté vytvoří následující položku registru tak, že spustí při každém startu Windows:HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "ServiceEXE" = "% USERPROFILE% \ Application Data \ conime.exe" Dále se otevře zadní dveře tím, že HTTP POST připojení do následujícího umístění: svr01.passport.serveuser.com Trojan je schopen pomocí tunelování proxy. To může také stáhnout a spustit potenciálně nebezpečný soubor.

Backdoor.Wiarp

Backdoor.Wiarp is a Trojan horse that opens a back door on the compromised computer. 
Při spuštění Trojan, vytvoří následující soubory: 

• SystemDrive%% \ Documents and Settings \ All Users \ Data aplikací \ MicroTemp \ werport.dll
• SystemDrive%% \ Documents and Settings \ All Users \ Data aplikací \ MicroTemp \ wiarpc.dll

Dále otevře zadní dveře po připojení do následujícího umístění a očekává příkazy z dálkového útočník: 
[http://] update.yahoo-upgrade.com/ch [ODSTRANIT] Vzdálený útočník může provádět následující akce: 

• Injekci souborů do běžících procesů
• Ukončit běžící procesy
• Vytvoření služby
• Stáhněte si vzdálený soubor
• Otevřete příkazový řádek

Backdoor.Linfo

Backdoor.Linfo je trojský kůň, který otevře zadní dveře na ohrožena počítače. 
Při spuštění Trojan, vytvoří následující soubory: 

• % ProgramFiles% \ Internet Explorer \ lg.dat
• % Windir% \ tp.ds
• % Windir% \ tp.dat
• % Windir% \ linkinfo.dll

To pak vytvoří následující mutex, aby pouze jedna instance běží na počítači ohrožena:
ExplorerIsShellMutex Další, otevře zadní dveře po připojení na následujících místech a čeká na příkazy ze vzdáleného útočníka:

• [Http://] www.ancold.org.au/mycfg/mycmd/ [KÓDOVÁNO HO [ODSTRANIT]
• [Http://] www.ancold.org.au / mycfg / myscr / Myup [ODSTRANIT]

Vzdálený útočník může provádět následující akce:

• Přidat informace o systému
• Stáhnout, nahrát, spustit, mazat, přesouvat a kopírovat soubory
• Spuštění vzdáleného shellu
• Seznam spuštěných procesů
• Seznam obsahuje lokální disk
• Hledat místní soubory
• Vytvoření a odstranění adresáře
• Stáhnout aktualizovanou konfigurační soubor
• Změna frekvence intervalů, ve kterých se počítač kontakty vzdálený server
• Provést shellcode
• Změna velitelské a řídící servery
• Vypnout nebo restartovat počítač ohrožena
• Odhlášení aktuálního uživatele

Backdoor.Win32.Poison.bxbv

Technické detaily

To Trojan je součástí jiného škodlivého programu, který poskytuje uživatelům se zlými úmysly s dálkovým přístupem na infikovaném počítači. Je to aplikace Windows (PE soubor DLL). To je 11 776 bytů. To je zabalena pomocí UPX. Vybaleno souboru je přibližně 58 kB. To je psáno v Delphi.

Užitečná

Škodlivý knihovna obsahuje dvě funkce, které provádějí následující akce:

• Pomocí funkce:

  SetStartUp

  Trojan registruje programy jiných výrobců ve Windows autorun klíč

  [HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
  "<jméno>" = "<hodnota>"

  kde <název> a <hodnota> jsou hodnoty, které obdrží jako Trojan vyvoláte parametry.
• Pomocí funkce:

  HideProcess

Trojan skrývá proces s identifikátorem, které obdrží jako výzvu do parametru.