Backdoor.Win32.Agent.ark

Материал из Total Malware Info

Backdoor.Win32.Agent.ark Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 25 до 26 кб. Упакован неизвестным упаковщиком, распакованный размер ~46 кб.

Инсталляция

Копирует свой исполняемый файл в папку %System% со случайным именем состоящим из цифр и букв латинского алфавита и расширением .exe(пример: BVK3S1Km.exe)

Деструктивная активность

Если бэкдор обнаруживает в системе процесс с именем zlclient.exe то завершает свою работу и удаляет свой исполняемый файл. Внедряет свой код в один из процессов:

iexplore.exe
mozilla.exe
firefox.exe
netscape.exe

Сообщает на сайт злоумышленников информацию о системе открывая следующий URL:

http://194.1*****3.157/ping/<зашифрованная информация о системе>

передается следующая информация: количество свободного места на диске С:, версия ОС, частота процессора и количество оперативной памяти. Далее бэкдор получает по следующей ссылке код:

http://194.1*****3.157/browser.php

который внедряет в свой процесс и запускает в отдельном потоке. На момент написания описания по ссылке ничего не скачивалось.

Ведет протокол своей работы в файле со случайным именем и расширением .hdi, который сохраняет в папке %Temp%.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).