0
0
0
0
  Online : 8 ( Member 0)
   
  Backdoor.Rbot.adzn
  Writer : admin     Date : 09-09-25 12:40     Hit : 937    
  Trackback Address : http://www.quickheal.hu/bbs/tb.php/Virus/830

A Backdoor.Rbot.adzn véletlenszerű portot nyit meg és teljes hozzáférést biztosit a távoli felhasználónak. Cserélhető meghajtókon keresztül is terjedhet.

Malware Tipus

:

Backdoor

Más néven

:

TR/Crypt.FKM.Gen [Avira], W32/Sdbot.worm.gen [McAfee]

Fenyegetett Rendszerek

:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Rizikófaktor

:

Alacsony

Leirás:
A Backdoor.Rbot.adzn a következő folyamatokat inditja el a rendszeren:
Az alábbi fájlokat helyezi el a rendszeren:

%Windows%\system32 \win.log
%Windows%\system32 \smss.exe [copy of itself]
Az alábbi regiszterbejegyzéseket módositja/hozza létre:

EnableDCOM = "N"
HKLM\Software\Microsoft\Ole

Default = "%Windows%\system32 \smss.exe" "%1" %*"
HKLM\Software\Classes\exefile\shell\open\command

DoNotAllowXPSP2 = "1"
DoNotAllowXPSP3 = "1"
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

Userinit = "%System%\userinit.exe,%Windows\system32 \smss.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

%Windows%\system32 \smss.exe = %Windows%\system32 \smss.exe:*:Enabled:SMS Services 
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List

CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL
Az alábbi fájlokat hozza létre a cserélhető meghajtókon:

%Drive letter%\autorun.inf
%Drive letter%\AutoRun - usb_installer.exe [Copy of itself]

Egy AUTORUN.INF fájlt másol az automaikus futtatás érdekében, amikor a cserélhető meghajtó elérhető.

Az AUTORUN.INF fájl az alábbiakat tartalmazza: 

;AutoRun - usb_installer.exe
;Partner ID : 1
;JetFlash TS1GJFV30 8.07
;(C) 2008-2009 USB INSTALLER - WEB OCTOPUS
[AUToRuN]
;;open=
open=usb_installer.exe
;;shellexecute=
shellexecute=usb_installer.exe
;;shell\open=Open(&O)
shell\Open\Command=usb_installer.exe
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=usb_installer.exe
;;shell\Autoplay(&A)
shell\Autoplay\command=usb_installer.exe
;;shell=
shell=Explore

Ha a felhasználó az alábbi bekarikázott opciót kiválasztja, a féreg automatikusan elkezd futni



Az alábbi domainnal kommunikál, és lehet, hogy fájlokat tölt le onnan:

http://81.169.[XXXX].[XXXX]


Megoldás:

Kapcsolja ki a rendszer visszaállítását.


Windows Me-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult. Kattintson duplán a "Rendszer"-re majd a "Teljesítmény"-re. Kattintson a Fájlrendszerre majd a Troubleshooting-ra. Válassza ki a "rendszer visszaállítás kikapcsolása" lehetőséget, és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

Windows XP-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult.
Kattintson duplán a "Rendszer"-re és utána arra hogy "A rendszer visszaállítása". Pipálja ki a "A rendszer visszaállítás kikapcsolása az összes meghajtón" és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

A Quick Heal-t használóknak ajánlott letölteni a legújabb vírusleírásokat, és a Quick Heal Scanner segítségével átvizsgálni a gépet.