DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web wykrył robaka który infekuje archiwa i usuwa inne trojany

13 stycznia 2017 года

Wirusy typu robak to złośliwe programy które potrafią replikować, ale nie potrafią infekować plików wykonywalnych. Specjaliści Doctor Web przebadali jednego z takich trojanów infekującego archiwa RAR i używającego programu VNC – narzędzia do zdalnego dostępu do systemów, jako sposobu na rozpowszechnianie się.

Robak nazwany BackDoor.Ragebot.45 otrzymuje instrukcje poprzez protokół IRC (Internet Relay Chat), łącząc się z odpowiednim kanałem dostępnym w ramach tego serwisu.

screen BackDoor.Ragebot.45 #drweb

Po zainfekowaniu komputera pracującego pod kontrolą systemu Windows, BackDoor.Ragebot.45 uruchamia serwer FTP, którego użyje później do załadowania swojej kopii na kolejny, atakowany komputer. Następnie skanuje dostępne podsieci, wyszukując węzły z otwartym portem 5900 w celu zestawienia połączenia z pulpitem Virtual Network Computing (VNC). Gdy taka maszyna zostanie wykryta, BackDoor.Ragebot.45 próbuje uzyskać do niej dostęp przeprowadzając atak brute-force.

Jeśli dostęp zostanie uzyskany, robak zestawia połączenie VNC i wysyła sygnały odpowiadające naciśnięciom klawiszy, używając ich do uruchomienia interpretera poleceń CMD i wykonania kodu uruchamiającego pobranie swojej kopii poprzez protokół FTP. W taki sposób robak dokonuje swojej replikacji.

Kolejną funkcją BackDoor.Ragebot.45 jest wyszukiwanie i infekowanie archiwów RAR na nośnikach wymiennych. Gdy wykryje takie archiwum, trojan zapisuje w nim swoją kopię (nazwaną setup.exe, installer.exe, self-installer.exe lub self-extractor.exe). Aby infekcja powiodła się, użytkownik musi uruchomić plik wykonywalny, który został wypakowany z archiwum.

Dodatkowo trojan kopiuje siebie do folderu klienta ICQ razem z folderami programów zaprojektowanych do zestawiania połączeń P2P. Gdy BackDoor.Ragebot.45 otrzyma odpowiednie polecenie, przeszukuje system pod kątem innych trojanów i, jeśli znajdzie jakieś, usuwa ich pliki wykonywalne. Trojan posiada specjalną białą listę zawierającą nazwy plików (należących głównie do plików systemowych Windows) które są przez niego ignorowane, pozwalając im na działanie na zainfekowanej maszynie.

Fakt istnienia próbek poprzedniej wersji BackDoor.Ragebot.45 został upubliczniony jakiś czas temu. Być może spowoduje to aktywne rozpowszechnianie się tego robaka w niedalekiej przyszłości. Dr.Web z powodzeniem wykrywa i usuwa BackDoor.Ragebot.45, tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments