W sieci pojawił się nowy wirus Backdoor.Hacdef.b pełniący rolę backdoora a który działa wyłącznie w systemach Windows NT/2000/XP. Składa się z dwóch elementów - komponentu głównego oraz pomocniczego. Szkodnik ma możliwość ukrywania własnego oraz innych procesów, plików na dysku oraz wpisów rejestru systemowego.
Pliki backdoora mogą posiadać różne nazwy, jednak najczęściej pojawiają się jako isplog.exe lub isplogger.exe w komponencie głównym, natomiast w bibliotece pomocniczej są to: isplogger.sys, hkrnlrdv.sys, hxdefdrv.sys
Po uruchomieniu backdoor rozpakowuje z własnego kodu bibliotekę pomocniczą i instaluje ją w folderze, z którego został uaktywniony. Szkodnik rejestruje się jako usługa o nazwie Minimal Network, która aktywowana jest wraz z każdym startem systemu Windows.
Backdoor tworzy następujący klucz w rejestrze systemowym:
HKLM\System\CurrentControlSet\Services\SafeBoot
Szkodnik nie otwiera żadnych portów na zainfekowanym komputerze. Dzięki przejęciu powyższych funkcji API ma on możliwość monitorowania całego odbieranego ruchu sieciowego. W ten sposób backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego hasła szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pełnego dostępu do zaatakowanej maszyny. Sposób ten pozwala backdoorowi na omijanie ewentualnych zapór ogniowych zainstalowanych na zainfekowanych komputerach.
Źródło informacji: Kaspersky Lab
Backdoor.Hacdef.b - omija zapory ogniowe
Wirusy komputerowe |
Wt, 13 Lip 2004 15:18:34 +0200 |
Autor:
Redakcja
| Czytań: 4955
Pozostałe wiadomości w kategorii Wirusy komputerowe (326)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.