BKDR_VISEL.FO

Tento backdoor může být vložen jiným malwarem.

Provede příkazy ze vzdáleného uživatele se zlými úmysly, účinně ohrožení postiženého systému. To se připojí na webové stránky, odesílat a přijímat informace.

Načte konkrétní informace z postiženého systému.

Příjezd Detaily

Tento backdoor může být zrušen následující malware:

• TROJ_MDROP.ZD

Instalace

Tento backdoor přidává následující složky:

• c: \

Klesne následující komponenty soubor (y):

• % Uživatel TEMP% \ print32.dll - také rozpoznán jako BKDR_VISEL.FO
• % Program Files% \ Common Files \ odbc.nls - zjistit také jako BKDR_VISEL.FO

(Poznámka: Uživatel% Temp% je aktuálního uživatele Temp, který je obvykle C: \ Documents and Settings \ {uživatelské jméno} \ Local Settings \ Temp na Windows 2000, XP a Server 2003 .. % Program Files% je Výchozí Program Files, obvykle C: \ Program Files).

Klesne tyto kopie sebe sama do postiženého systému:

• % Windows% \ Temp \ y {} náhodná čísla. DAT

(Poznámka: % Windows% je složka systému Windows, který je obvykle C: \ Windows nebo C: \. WINNT)

Jeho DLL komponenta je aplikován na následující proces (y):

• spoolsv.exe

Další systémové změny

Tento backdoor odstraní následující soubory:

• % Program Files% \ Common Files \ odbc_dmc.nls
• % Program Files% \ Common Files \ odbc_orp.nls
• % Program Files% \ Common Files \ odbc_res.nls
• % Program Files% \ Common Files \ odbc_lif.nls
• % Program Files% \ Common Files \ odbc_ger.nls
• % Program Files% \ Common Files \ odbc_rcs.nls
• % Program Files% \ Common Files \ odbc_div.nls
• % Program Files% \ Common Files \ odbc_dua.nls
• % Program Files% \ Common Files \ odbc_rehto.nls
• % Program Files% \ Common Files \ dumpodbc.exe
• % Program Files% \ Common Files \ odbc_txe.nls
• % Program Files% \ Common Files \ odbc_gpj.nls
• % Program Files% \ Common Files \ odbc_yek.nls

(Poznámka: % Program Files% je výchozí Program Files, obvykle C:. \ Program Files)

To změní následující položky registru:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ 
Services \ Zařazování 
FailureActions = {} HEX hodnoty

(Poznámka: Údaje Výchozí hodnota těchto položku registru je výchozí hodnota {} ).

Rutinní backdoor

Tento backdoor provede následující příkazy ze vzdáleného uživatele se zlými úmysly:

• Změna portu se používá pro připojení k jejich serveru C & C
• Zkontrolujte, zda obsah%% Program Files \ Common Files
• Připojte se k nové C & C IP adresy
• Připojení k webu přes HTTP
• Vytvořit / Manipulace témata
• Stáhnout a spouštět soubory
• Vložte / volné knihovny
• Přihlášení uživatele úhozů

(Poznámka: % Program Files% je výchozí Program Files, obvykle C:. \ Program Files)

To se připojí na těchto internetových stránkách odesílat a přijímat informace:

• {BLOKOVÁNA}.} {BLOKOVÁNA .9.132

Ukončení procesu

Tento backdoor končí následující služby, pokud je uveden na postiženém systému:

• Zařazování
• stisvc
• wuauserv
• Norton Internet Security
• Norton 360
• Norton AntiVirus

Informace o krádeži

Tento backdoor načte následující informace od postiženého systému:

• Název počítače
• IP adresa
• Informace o operačním systému

Informace o odcizení

Tento backdoor uloží ukradené informace v následujícím souboru:

• c: \ \ b.txt