Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Backdoor.Win32.DSSdoor.c

Trojan ten zapewnia zdalnemu szkodliwemu użytkownikowi dostęp do zaatakowanej maszyny. Ma postać pliku PE EXE o rozmiarze 419 969 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 890KB). Trojan powstał w języku programowania Visual Basic.

Instalacja

Po uruchomieniu backdoor instaluje komponenty Visual Basic do foldera systemowego (%System%):

MSINET.OCX 
regobj.dll 
SocketX.DLL 
SocketX.OCX

Przeszukuje system w celu znalezienia następujących procesów:

*firewall*.exe
*zonealarm*.exe
*zlclient*.exe
frw.exe
nc2000.exe
jammer.exe
cpd.exe
comsocks.exe
Smc.exe
iamapp.exe
persfw.exe
pfwwadmin.exe
Trojan Guarder.exe      
looknstop.exe
Lnscfg.exe
aports.exe
PLManager.exe
PLService.exe
awpta.exe
UpPDB.exe
Commview.dll
Anti-Virus&Trojan.exe
LinkFerret.Exe
ItCanNet.exe
PRT.EXE
NMain.exe
netscanpro.exe
Tcpview.exe
tcpvcon.exe
Anti-Virus&Spyware.exe
Armor2net.exe
fwsrv.exe
sppfw.exe
AlertWall.exe
MPF.exe
kpf4ss.exe
kpf4gui.exe

Backdoor będzie szukał okien o poniższych nagłówkach:

firewall
ZoneAlarm
Net-Commando
Jammer
ComSocks
SPF
AtGuard
Trojan Guarder  
Active Ports
PortsLock
AWPTA
CommView
LinkFerret Network Monitor
ItCan.Net Monitor
Net2112 TCPRT
TSCAN PRO
tcpview
Anti-Virus&Trojan
Anti-Virus&Spyware
AlertWall
SafeZone

Jeśli szkodnik znajdzie takie nagłówki okien, zaprzestanie instalacji.

Backdoor rejestruje się następnie w rejestrze systemowym:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"DSS" = "(ścieżka do pliku wykonywalnego trojana)"

Dzięki temu backdoor zapewnia sobie uruchamianie wraz z każdym restartem systemu Windows na zaatakowanej maszynie.

Funkcje szkodnika

Trojan otwiera losowo wybrany port w celu nadsłuchiwania poleceń od zdalnego szkodliwego użytkownika. Backdoor umożliwia zdalnemu szkodliwemu użytkownikowi następujące czynności:

  • pobieranie i uruchamianie aplikacji;
  • wyświetlanie komunikatów;
  • dodawanie wpisów do listy hostów w %Systesm%driversetchosts;
  • pobieranie plików z następujących zasobów;
    www.freeiteducation.com
    www.sms-networks.com
    www.clickonteens.com
    www.custombabes.com
    www.hackology.com
    www.dataserverfx.com
    www.dfhdjkhskjdfhkje.com
    

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia oryginalnego procesu trojana.
  2. Usuń oryginalny plik backdoora (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące parametry z rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "DSS"

  4. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).