Backdoor.Dalsk

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Backdoor.Dalsk

Post30 gru 2010, 23:18

Nazwa: Troj/Zbot-AIB
Typ: Trojan
Źródło: Symantec
System: Windows

Działanie: otwiera backdoor w systemie.

Tworzy pliki:

* %System%\Setup\wuauclt1.exe
* %System%\rshx16.bak
* %System%\rshx16.dll
* %System%\Setup\hid32.log
* %System%\scardclt.exe
* %System%\drivers\ipcdr.sys
* %System%\drivers\ipcdr.bak
* %System%\ntmsapi16.dll
* %System%\igxpgb32.dll
* %System%\drivers\irpfit.sys
* %System%\drivers\irpfit.bak
* %System%\hid32.dll
* %System%\hid32.bak
* %System%\incs.exe
* %System%\msvfw16.dll
* %System%\dmome.dll



Tworzy klucze w rejestrze:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\incs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipcdr
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irpfit
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScardClt



Co robi dalej:

* Zbiera informacje o systemie
* ściąga pliki
* Sprawdza co się dzieje na łączach
* Robi zrzuty ekranu
* Tworzy, usuwa konta, usługi, pliki oraz procesy

Usuwanie:
Po wyłączeniu przywracania systemu, aktualizacji antywirusa i wykonaniu nim skanowania komputera, należy:
usunąć wpisu z rejestru:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\incs
* HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\ipcdr
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irpfit
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScardClt
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości