Backdoor.Win32.Bossat
Материал из Total Malware Info
Backdoor.Win32.Bossat Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 13824 байт.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\winsys.exe
Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Windows=%WinDir%\winsys.exe
Деструктивная активность
Данный бэкдор управляется по IRC протоколу и предназначен для проведения DOS атак. При запуске бэкдор устанавливает соединение со следующим сервером:
b0ss.ath.cx
на 6667 TCP порт и входит в канал с именем “#b0ss” после чего переходит в режим приема команд от злоумышленника, которые могут быть одними из следующих: .ping – пинг указанного адреса .exec – выполнение произвольной команды .download – закачка файлы по указанному URL файла и сохранение его под указанным именем .remove – удаленить себя из системы .udp – DOS атака UDP пакетами на указанный адрес .igmp - DOS атака IGMP пакетами на указанный адрес .icmp - DOS атака ICMP пакетами на указанный адрес .tcp - DOS атака TCP пакетами на указанный адрес .sysinfo – вывод информации о системе (версия Windows, время работы Windows, частота ЦП) .reboot – перезагрузка компьютера
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
- Удалить файл:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Windows=%WinDir%\winsys.exe
%WinDir%\winsys.exe
