Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

JimmyJo

BackDoor.Termuser открывает несанкционированный доступ к зараженным компьютерам

Рекомендованные сообщения

Не хочу не кого пугать. Это для сведений. Удивлён был силой вируса. Это письмо прислали мне из компании Dr.Web. Я подписался на рассылку почты от этой компании.

BackDoor.Termuser открывает несанкционированный доступ к зараженным компьютерам

20.06.2011

 

20 июня 2011 года

 

Компания «Доктор Веб» обращает внимание пользователей на появление вредоносной программы BackDoor.Termuser, реализующей на зараженном компьютере функции бэкдора и открывающей к нему доступ злоумышленникам.

 

Предположительно, этот бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов. Непосредственно после загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО.

image

 

Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы «администраторы» и «пользователи удалённого рабочего стола», после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Данный троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

 

Загрузившись в операционной системе, бэкдор BackDoor.Termuser не только не позволяет запускать антивирусные программы, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам. В целях профилактики заражения этим вредоносным ПО пользователям рекомендуется регулярно устанавливать обновления безопасности Windows, а также выполнять проверку компьютера антивирусом Dr.Web.

 

Служба информации

компании «Доктор Веб»

Источник - http://news.drweb.com/show/?i=1744&c=23

 

Текст убрал под тэг "Цитата", удалил излишние телефоны, ссылки и рекламные слоганы, добавил прямую ссылку на новость на оф.сайте Dr.Web. //WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, информация полезная.

Как я понял, достаточно проверять с каким то таймаутом наличие в системе службы Network Adapter Events, наверно это можно простым скриптом, допустим планировщика, nnCron'ом например и вывода сообщения, при наличие службы.

Нет ли у вас информации под каким именем служба регистрируется в реестре? "Network Adapter Events" - это по-моему DisplayName.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно иметь фаерволл и любые проблемы с неизвестным запускающимся ПО отпадают сами собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И? Самый обычный бэкдор. Один из миллионов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах