Backdoor.Win32.PcClient.ald

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.PcClient.ald Бэкдор, выполняющий сбор информации на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 65190 байт. Ничем не упакована. Написана на C++.

Инсталляция

При активации бэкдор извлекает из своего тела в системный каталог Windows динамическую библиотеку DLL: 

%System%\<rnd>.dll

где <rnd> - случайно сгенерированное имя, например "vdfcvk". Данный файл имеет размер 95740 байт и детектируется Антивирусом Касперского, как Backdoor.Win32.PcClient.akx. Далее бэкдор извлекает из своего тела драйвер: 

%System%\drivers\<rnd>.sys

где <rnd> - случайно сгенерированное имя, например "vdfcvk". Данный файл имеет размер 5632 байта и детектируется Антивирусом Касперского, как Backdoor.Win32.PcClient.ai. Далее Бэкдор запускает в адресном пространстве процесса "svchost.exe" поток, который загружает библиотеку "%System%\<rnd>.dll". Бэкдор создает службу, которая автоматически загружает драйвер "%System%\drivers\<rnd>.sys" создавая следующую ветвь реестра: 

[HKLM\System\CurrentControlSet\Services\<rnd>]

Затем бэкдор регистрирует автозапуск динамической библиотеки при следующем старте системы: 

[HKLM\System\CurrentControlSet\Services\<rnd>\Parameters]
"ServiceDll" = "%SystemRoot%\System32\<rnd>.dll"

Деструктивная активность

При загрузке основного компонента бэкдора "%System%\<rnd>.dll", устанавливается протоколирование нажатых клавиш в окнах, с которыми работает пользователь. Вся информация записывается в системный каталог: 

%System%<rnd>.key

где <rnd> - случайно сгенерированное имя, например "vdfcvk". Далее бэкдор отправляет всю собранную информацию в виде http - запроса на следующий URL: 

www.medians.net

Драйвер "%System%\drivers\<rnd>.sys" используется для срытия активности бэкдора в системе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    3. %System%\<rnd>.dll
%System%\drivers\<rnd>.sys
%System%<rnd>.key
  3. Удалить ветвь реестра (как работать с реестром?):
    4. [HKLM\System\CurrentControlSet\Services\<rnd>]
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.PcClient.ald»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.