Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył robaka który infekuje archiwa i usuwa inne trojany

13 stycznia 2017 года

Wirusy typu robak to złośliwe programy które potrafią replikować, ale nie potrafią infekować plików wykonywalnych. Specjaliści Doctor Web przebadali jednego z takich trojanów infekującego archiwa RAR i używającego programu VNC – narzędzia do zdalnego dostępu do systemów, jako sposobu na rozpowszechnianie się.

Robak nazwany BackDoor.Ragebot.45 otrzymuje instrukcje poprzez protokół IRC (Internet Relay Chat), łącząc się z odpowiednim kanałem dostępnym w ramach tego serwisu.

screen BackDoor.Ragebot.45 #drweb

Po zainfekowaniu komputera pracującego pod kontrolą systemu Windows, BackDoor.Ragebot.45 uruchamia serwer FTP, którego użyje później do załadowania swojej kopii na kolejny, atakowany komputer. Następnie skanuje dostępne podsieci, wyszukując węzły z otwartym portem 5900 w celu zestawienia połączenia z pulpitem Virtual Network Computing (VNC). Gdy taka maszyna zostanie wykryta, BackDoor.Ragebot.45 próbuje uzyskać do niej dostęp przeprowadzając atak brute-force.

Jeśli dostęp zostanie uzyskany, robak zestawia połączenie VNC i wysyła sygnały odpowiadające naciśnięciom klawiszy, używając ich do uruchomienia interpretera poleceń CMD i wykonania kodu uruchamiającego pobranie swojej kopii poprzez protokół FTP. W taki sposób robak dokonuje swojej replikacji.

Kolejną funkcją BackDoor.Ragebot.45 jest wyszukiwanie i infekowanie archiwów RAR na nośnikach wymiennych. Gdy wykryje takie archiwum, trojan zapisuje w nim swoją kopię (nazwaną setup.exe, installer.exe, self-installer.exe lub self-extractor.exe). Aby infekcja powiodła się, użytkownik musi uruchomić plik wykonywalny, który został wypakowany z archiwum.

Dodatkowo trojan kopiuje siebie do folderu klienta ICQ razem z folderami programów zaprojektowanych do zestawiania połączeń P2P. Gdy BackDoor.Ragebot.45 otrzyma odpowiednie polecenie, przeszukuje system pod kątem innych trojanów i, jeśli znajdzie jakieś, usuwa ich pliki wykonywalne. Trojan posiada specjalną białą listę zawierającą nazwy plików (należących głównie do plików systemowych Windows) które są przez niego ignorowane, pozwalając im na działanie na zainfekowanej maszynie.

Fakt istnienia próbek poprzedniej wersji BackDoor.Ragebot.45 został upubliczniony jakiś czas temu. Być może spowoduje to aktywne rozpowszechnianie się tego robaka w niedalekiej przyszłości. Dr.Web z powodzeniem wykrywa i usuwa BackDoor.Ragebot.45, tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A