Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Backdoor.Win32.PoisonIvy.a

Jest to program dający zdalnemu agresorowi pełny dostęp do zainfekowanego komputera. Ma postać pliku PE EXE o rozmiarze 9 216 bajtów. Szkodnik jest instalowany w systemie przez trojana Trojan-Dropper.Ichitaro.Tarodrop.a, który dostaje się do komputera za pośrednictwem nieudokumentowanej luki w japońskim pakiecie biurowym Ichitaro Office Suite.

Instalacja

Po uruchomieniu szkodnik tworzy swoją kopię:

%Windir%wab32.exe

Jest ona uruchamiana a oryginalny plik, z którego szkodnik został uruchomiony jest usuwany.

Trojan tworzy następujący klucz w rejestrze systemowym:

[HKLMSoftwareMicrosoftActive SetupInstalled Components{254F4E25-A65F-2764-0003-070806050704}]
"StubPath" = "%Windir%wab32.exe"

W celu oznaczenia zainfekowanego systemu trojan tworzy unikatowy identyfikator:

)!VoqA.I4

Funkcje backdoora

Backdoor ma postać zaszyfrowanego komponentu popularnego narzędzia administracyjnego Poison Ivy.

Backdoor daje zdalnemu agresorowi pełny dostęp do zainfekowanego komputera, łącznie z możliwością uruchamiania szeregu poleceń, gromadzenia informacji systemowych, pobierania i uruchamiania plików, tworzenia i przenoszenia folderów, modyfikowania kluczy rejestru systemowego, zamykania aktywnych procesów, tworzenia zrzutów ekranu i wysyłania ich na zdefiniowany adres e-mail, zamykanie zainfekowanego komputera itd.

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z zainfekowanego systemu należy:

  1. Usunąć plik backdoora:
    %Windir%wab32.exe
    

  2. Usunąć następujący klucz rejestru:

    [HKLMSoftwareMicrosoftActive SetupInstalled Components{254F4E25-A65F-2764-0003-070806050704}]
    "StubPath" = "%Windir%wab32.exe"

  3. Uaktualnić antywirusowe bazy danych i przeprowadzić pełne skanowanie antywirusowe komputera (można w tym celu wykorzystać wersję trial programu Kaspersky Anti-Virus)