Backdoor.Win32.Agent.ark
Материал из Total Malware Info
Backdoor.Win32.Agent.ark Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 25 до 26 кб. Упакован неизвестным упаковщиком, распакованный размер ~46 кб.
Инсталляция
Копирует свой исполняемый файл в папку %System% со случайным именем состоящим из цифр и букв латинского алфавита и расширением .exe(пример: BVK3S1Km.exe)
Деструктивная активность
Если бэкдор обнаруживает в системе процесс с именем zlclient.exe то завершает свою работу и удаляет свой исполняемый файл. Внедряет свой код в один из процессов:
iexplore.exe mozilla.exe firefox.exe netscape.exe
Сообщает на сайт злоумышленников информацию о системе открывая следующий URL:
http://194.1*****3.157/ping/<зашифрованная информация о системе>
передается следующая информация: количество свободного места на диске С:, версия ОС, частота процессора и количество оперативной памяти. Далее бэкдор получает по следующей ссылке код:
http://194.1*****3.157/browser.php
который внедряет в свой процесс и запускает в отдельном потоке. На момент написания описания по ссылке ничего не скачивалось.
Ведет протокол своей работы в файле со случайным именем и расширением .hdi, который сохраняет в папке %Temp%.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс бэкдора.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).





