Backdoor.Win32.Insider

Материал из Total Malware Info

Backdoor.Win32.Insider Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 22528 байт.

Инсталляция

Копирует свой исполняемый файл как:

c:\MDIOCTL.EXE
%Program Files%\Outlook Express\WABERES.DLL
%Program Files%\Microsoft Office\Office\WSOZCPNB.DLL

Деструктивная активность

Замещает своим телом следующие файлы:

C:\Program Files\winamp\WINAMP.EXE
c:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

При предварительно сохраняя их оригинальные копии в файлах имеющих такое же имя с добавлением символа “_” в начале. Скачивает файл со следующего адреса:

ftp://i141******d.ru/Result.zip

На момент создания описания ссылка не работала. Файл сохраняется как:

%WinDir%\MDIOCTL.EXE

после чего запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

C:\Program Files\winamp\WINAMP.EXE
c:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
%WinDir%\MDIOCTL.EXE
c:\MDIOCTL.EXE
%Program Files%\Outlook Express\WABERES.DLL
%Program Files%\Microsoft Office\Office\WSOZCPNB.DLL

4. Переименовать файлы:

C:\Program Files\winamp\_WINAMP.EXE
c:\Program Files\Outlook Express\_msimn.exe
C:\Program Files\Microsoft Office\Office\_WINWORD.EXE

в

C:\Program Files\winamp\WINAMP.EXE
c:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE