Backdoor.Bifrose.L

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

При запуске создает следующие файлы:

  • %System%\netview.exe
  • %System%\waults.exe
  • %System%\ld.exe

(Примечание: %System% - системная директория Windows, для NT-систем - “C:\Windows\System32″)

Обеспечивает себе автозагрузку при каждом запуске Windows, записывая в реестр следующие элементы:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\”waults” = “%System%\waults.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”netview” = “%System%\netview.exe”
  • HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\”waults” = “%System%\waults.exe”
  • HKEY_CURRENT_USER\VirtualStore\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\”waults” = “%System%\waults.exe”

Также создает в реестре записи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}\”stubpath” = “%System%\netview.exe s”
  • HKEY_CURRENT_USER\Identities\”Last User Identity” = “0×00029B46″

…и подключи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\SKav\nck
  • HKEY_CURRENT_USER\SOFTWARE\SKav
  • HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}
  • HKEY_CURRENT_USER\VirtualStore\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A5CDF7EC-751B-46aa-AD69-4005FE080DE8}
  • HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\SKav
  • HKEY_CURRENT_USER\VirtualStore\MACHINE\SOFTWARE\SKav

Скрывает свое присутствие в системе, создавая новый процесс Explorer и внедряя туда свой код.

Периодически связывается с сайтами:

  • [http://]ginzz.3322.org
  • [http://]tyosyozz.3322.org
  • [http://]takahashi.3322.org

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Открывает в захваченной системе “черный ход”, предоставляющий атакующему доступ.