Nazwa: Troj/Zbot-AIB
Typ: Trojan
Źródło: Symantec
System: Windows
Działanie: otwiera backdoor w systemie.
Tworzy pliki:
* %System%\Setup\wuauclt1.exe
* %System%\rshx16.bak
* %System%\rshx16.dll
* %System%\Setup\hid32.log
* %System%\scardclt.exe
* %System%\drivers\ipcdr.sys
* %System%\drivers\ipcdr.bak
* %System%\ntmsapi16.dll
* %System%\igxpgb32.dll
* %System%\drivers\irpfit.sys
* %System%\drivers\irpfit.bak
* %System%\hid32.dll
* %System%\hid32.bak
* %System%\incs.exe
* %System%\msvfw16.dll
* %System%\dmome.dll
Tworzy klucze w rejestrze:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\incs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipcdr
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irpfit
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScardClt
Co robi dalej:
* Zbiera informacje o systemie
* ściąga pliki
* Sprawdza co się dzieje na łączach
* Robi zrzuty ekranu
* Tworzy, usuwa konta, usługi, pliki oraz procesy
Usuwanie:
Po wyłączeniu przywracania systemu, aktualizacji antywirusa i wykonaniu nim skanowania komputera, należy:
usunąć wpisu z rejestru:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\incs
* HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\ipcdr
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irpfit
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScardClt
Backdoor.Dalsk
- cosik_ktosik
- Posty: 21399
- Rejestracja: 13 lis 2008, 01:17
- Lokalizacja: Szczecin
- Kontaktowanie:
Backdoor.Dalsk
Hotfix
Pozdrawiam, cosik_ktosik
Pozdrawiam, cosik_ktosik
-
- Reklama
Wróć do „Zagrożenia i leczenie”
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości