Backdoor.Win32.Agent.aoz

Материал из Total Malware Info

Backdoor.Win32.Agent.aoz Бэкдор, сообщающий информацию о систме пользователя на сайт злоумышленников. Является приложением Windows (PE-EXE файл). Имеет размер 8 961 байт.

Содержание 1 Инсталляция 2 Добавляет ссылку на извлеченный файл в ключ автозапуска системного реестра: 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Бэкдор запускает экземпляр системного процесса svchost.exe и внедряет в его память свой код. Внедренный вредоносный код извлекает из своего тела файл: %System%\win_5.dll – имеет размер 4 096 байт. Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.cyn

Добавляет ссылку на извлеченный файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\win_5.dll"

Деструктивная активность

Открывает TCP порт с произвольным номером на котором запускает HTTP прокси сервер, после чего сообщает на сайт злоумышленников следующую информацию: - Тип установленной на зараженном компьютере ОС - Внешний IP адрес компьютера - Номер порта на котором запущен прокси-сервер

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\win_5.dll"

4. Удалить файл:

%System%\win_5.dll