Поведение
Backdoor, троянская программа удаленного администрирования.
Технические детали
Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 12787 байт.
Инсталляция
После запуска бэкдор копирует свой исполняемый файл в системный каталог Windows:
%System%/mssrv32.exe
После чего бэкдор создает службу с именем "Microsoft security update service", которая автоматически запускает исполняемый файл бэкдора при каждой последующей загрузке системы. При этом создается следующий ключ реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/msupdate]
Деструктивная активность
При запуске бэкдор внедряет в процесс "svchost.exe" свой код, который выполняет следующие действия:
Регистрируется на сайте злоумышленников, открывая следующий URL:
http://84.252.***.***/_rus/stat.php
И получает адрес хоста в интернете, на который будут производиться DDOS атаки. Атаки могут быть следующих типов:
SYN Flood
ICMP Flood
UDP Flood
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить вредоносный процесс.
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
[HKLM/SYSTEM/CurrentControlSet/Services/msupdate]
- Удалить файл:
%System%/mssrv32.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
