Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Backdoor.Win32.Kbot.al

Backdoor ten zapewnia zdalnemu szkodliwemu użytkownikowi dostęp do zaatakowanej maszyny. Ma postać pliku PE EXE o rozmiarze 12787 bajtów.

Instalacja

Po uruchomieniu backdoor kopiuje swój plik wykonywalny do foldera systemu Windows:

%System%mssrv32.exe

Następnie backdoor tworzy usługę o nazwie "Microsoft security update service", która automatycznie uruchamia plik wykonywalny backdoora wraz z każdym restartem systemu. Tworzony jest następujący klucz rejestru:

[HKLMSYSTEMCurrentControlSetServicesmsupdate]

Funkcje szkodnika

Po uruchomieniu backdoor wstrzykuje swój kod do procesu "svchost.exe". To powoduje, że backdoor rejestruje się na stronie zdalnego szkodliwego użytkownika poprzez otwarcie następującego adresu URL:

http://84.252.***.***/_rus/stat.php

Następnie backdoor uzyskuje adres hosta z Internetu i przeprowadza na niego ataki DDoS. Typy ataków zostały wymienione poniżej:

SYN Flood 
ICMP Flood 
UDP Flood 

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
  2. Usuń oryginalny plik backdoora (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujący klucz rejestru systemowego:

    [HKLMSYSTEMCurrentControlSetServicesmsupdate]

  4. Usuń następujący plik:
    %System%mssrv32.exe
    
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).