Backdoor.Win32.Tonerok.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Backdoor.Win32.Tonerok.b Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 12 288 байт.

Деструктивная активность

Создает ключ реестра в котором хранит свои настройки: 

[HKLM\SOFTWARE\Microsoft\Mserv]

Бэкдор содержит встроенный кейлоггер, который следит за нажатиями на клавиши в окнах с которыми работает пользователь. Получает текст, введенный в окнах со следующими именами классов: IEFrame WorkerW ReBarWindow32 ComboBoxEx32

Так же бэкдор перехватывает содержимое буфера обмена Windows. Собранную информацию бэкдор сохраняет в файл отчета: 

%WinDir%\sysini.ini

Отчет периодически отправляет на электронную почту testinis01@mail.ru.

Очищает историю посещаемых в Internet Explorer сайтов. Скачивает файл по одной из следующих ссылок: 

http://ibiza-******ia.com/1.exe
(на момент создания описания ссылки не работали)

и сохраняет его как: 

%System%\surte.exe

после чего запускает. Отправляет уведомление о заражении компьютера открывая следующий URL: 

http://ibiza-******ia.com/php/command.php?IP=<IP-адрес компьютера>

Прослушивает 10001 и 10002 TCP порты и ждет входщих соединений от злоумышленников. Подключившись к указанным портам злоумышленник может выполнять следующие действия на компьютере пользователя: Просматривать список запущенных процессов Просматривать список файлов на жестком диске Удалять файлы Загружать файлы по указанному URL на компьютер пользователя и запускать их. Загружать любые файлы с жесткого диска пользователя на FTP сервер злоумышленников: ftp://ftp01.powweb.com

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс бэкдора.
  2. Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключь реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Mserv]
Источник — «http://www.totalmalwareinfo.com/rus/Backdoor.Win32.Tonerok.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.