Backdoor.Win32.Kbot.al

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.Kbot.al Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 12787 байт. Упакован при помощи Stalin, распакованный размер ~ 40 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\mssrv32.exe

Бэкдор создает службу с именем “Microsoft security update service”, которая автоматически запускает исполняемый файл бэкдора при каждой последующей загрузке системы. При этом создается ключ реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\msupdate]

Деструктивная активность

При запуске бэкдор внедряет в процесс svchost.exe свой код, который выполняет следующие действия: Регистрируется на сайте злоумышленников, открывая следующий URL: 

http://84.2******.180/_rus/stat.php

и получает адрес хоста в интернете, на который будут производиться DDOS атаки. Атаки могут быть следующих типов : SYN Flood ICMP Flood UDP Flood

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    4. [HKLM\SYSTEM\CurrentControlSet\Services\msupdate]
  4. Удалить файл:
    5. %System%\mssrv32.exe
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.Kbot.al»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.