Backdoor.Win32.IRCbot.aey

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.IRCbot.aey Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 63 488 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\mdm.exe

Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office"="%System%\mdm.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office"="%System%\mdm.exe"

Деструктивная активность

Изменяет значение следующих ключей реестра: 

[HKLM\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
“restrictanonymous”=”1”

Устанавливает соединение с управляющим IRC сервером: 

http://tap.aktash123.com

входит в канал с именем “#!mxm!” с именем пользователя “micky74” и входит в режим ожидания команд. Для входа в канал используется следующий пароль: “4lamer4sexy7”.

Посылая команды бэкдору с сервера возможно выполнять следующие действия на инфицированном компьютере:

  • Закачивать на зараженный компьютер файлы из интернет по указанной ссылке и запускать их.
  • Сканировать открытые порты компьютеров доступных в сетевом окружении.
  • Просматривать список процессов на зараженном компьютере и завершать любой процесс.
  • Выполнять команды командного интерпретатора и запускать исполняемые файлы
  • Удалять файлы на жестком диске

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора(предположительно mdm.exe).
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office"="%System%\mdm.exe"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Office"="%System%\mdm.exe"
  4. Удалить файл:
    5. %System%\mdm.exe
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.IRCbot.aey»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.