Backdoor.Win32.Tonerok.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.Tonerok.a Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 11 280 байт. Упакована при помощи UPX, распакованный размер ~43 кбайт.

Инсталляция

Извлекает из своего исполняемого файла следующие файлы: %WinDir%\svchost.exe (13 824 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Tonerok.a) %System%\wingua.exe (4 608 байта, детектируется Антивирусом Касперского как Trojan.Win32.KillAV.br) %WinDir%\msto32.dll (3 072 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Tonerok.a) %WinDir%\sysini.ini (42 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Tofger.ini) Для автоматического запуска при следующем старте системы бэкдор добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Online Service”=”%WinDir%\svchost.exe”

Деструктивная активность

Завершает процесс с именем “system.exe”

Создает ключ реестра в котором хранит свои настройки: 

[HKLM\SOFTWARE\Microsoft\Mserv]

Бэкдор содержит встроенный кейлоггер, который следит за нажатиями на клавиши в окнах с которыми работает пользователь. Получает текст, введенный в окнах со следующими именами классов: IEFrame WorkerW ReBarWindow32 ComboBoxEx32

Так же бэкдор перехватывает содержимое буфера обмена Windows. Собранную информацию бэкдор сохраняет в файл отчета: 

%WinDir%\sysini.ini

Отчет периодически отправляет на электронную почту foregoldlog@front.ru.

Очищает историю посещаемых в Internet Explorer сайтов. Скачивает файл по одной из следующих ссылок: 

http://trojane******arod.ru/egold/1.exe
http://trojane******arod.ru/egold/2.exe
http://trojane******arod.ru/egold/3.exe

(на момент создания описания ссылки не работали) и сохраняет его как: 

%System%\surte.exe

после чего запускает. Отправляет уведомление о заражении компьютера открывая следующий URL: 

http://211.5*******4:295/IP=<IP-адрес компьютера>

Прослушивает 10001 и 10002 TCP порты и ждет входщих соединений от злоумышленников. Подключившись к указанным портам злоумышленник может выполнять следующие действия на компьютере пользователя: Просматривать список запущенных процессов Просматривать список файлов на жестком диске Удалять файлы Загружать файлы по указанному URL на компьютер пользователя и запускать их. Загружать любые файлы с жесткого диска пользователя на FTP сервер злоумышленников: ftp://211.59.196.24:2121

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Online Service”=”%WinDir%\svchost.exe”
  4. Удалить ключь реестра (как работать с реестром?):
    5. [HKLM\SOFTWARE\Microsoft\Mserv]
  5. Удалить файлы:
    6. %WinDir%\svchost.exe
%System%\wingua.exe
%WinDir%\msto32.dll
%WinDir%\sysini.ini
%System%\surte.exe
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.Tonerok.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.