Latest Threats 14/09/03 Backdoor.Graybird.G

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 14/09/03 Backdoor.Graybird.G

Δημοσίευση από Expl0it » 16 Σεπ 2003 02:49

Backdoor.Graybird.G

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


Ο Backdoor.Graybird.G είναι μια παραλλαγή του Backdoor.Graybird που επιτρέπει την αναρμόδια πρόσβαση σε ένα συμβιβασμένο σύστημα.

Ο Trojan είναι φτιαγμένος σε Borland Delphi και είναι συμπιεσμένος με ASPack.

Επίσης γνωστός ώς : Backdoor.GrayBird.f [KAV]
Παραλλαγές : Backdoor.Graybird, Backdoor.Garybird.B - F
Είδος : Trojan Horse

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : Linux, Macintosh, OS/2, UNIX, Windows 3.x

ΤΕΧΝΙΚΕΣ ΛΕΠΤΟΜΕΡΙΕΣ

Όταν Ο Backdoor.Graybird.G τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται ως %System%\Explore.exe. Οι ιδιότητες των αρχείων ορίζονται ως Hidden και System.

2 Δημιουργεί την τιμή :

"explore.exe"="%System%\Explore.exe"

Στα Registry Keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Έτσι ώστε ο Trojan να τρέχει κάθε φορά που ξεκινάτε τα Windows.

3 Εάν το λειτουργικό σύστημα είναι Windows 95/98/Me, ο Trojan προσθέτει τη γραμμή: run=%System%\explore.exe στο
[τμήμα Windows] του Win.ini, έτσι ώστε Trojan να τρέχει κάθε φορά που ξεκινάτε τα Windows.

4 Προσπάθει να προσεγγίσει τους καταχωρημένους κωδικούς πρόσβασης του υπολογιστή. Αυτοί οι κωδικοί πρόσβασης περιλαμβάνουν τους κωδικούς πρόσβασης των "modem και των dial-up συνδέσεων", τους κωδικούς πρόσβασης URL, τους κωδικούς πρόσβασης Share , και άλλων.

5 Συνδέεται με έναν προσδιορισμένο κεντρικό υπολογιστή (Server) στην PORT 8001 και στέλνει τις πληροφορίες του συστημάτος σε εκείνον τον κεντρικό υπολογιστή (Server).

6 Στέλνει ειδοποιητήριο email στον διαχειριστή του Trojan.

7 Ορίζει πληκτρολογήσεις , οι οποίες θα μπορούσαν να επιτρέψουν στον Backdoor.Graybird.G να κλέψει τις εμπιστευτικές πληροφορίες.

8 Περιμένει τις εντολές από τον απομακρυσμένο χρήστη. Αυτές οι εντολές δίνουν στον απομακρυσμένο χρήστη την δυνατότητα να κάνει κάποιες απο τις παρακάτω ενέργειες :

* Παραδίδει πληροφορίες του συστήματος και δικτύων στον , απομακρυσμένο χρήστη συμπεριλαμβανομένων των ονομάτων σύνδεσης και των αποθηκευμένων κωδικών πρόσβασης δικτύων.

* Εγκαταστεί έναν κεντρικό υπολογιστή FTP, επιτρέποντας στον απομακρυσμένο χρήστη να χρησιμοποιήσει το συμβιβασμένο υπολογιστή ως συσκευή προσωρινής αποθήκευσης.

* Προσπάθειες να ανοιξεί και να κλείσει το CD-ROM και εκτελεί άλλες ενέργειες.

* Κατεβάζει (download) και εκτελεί αρχεία.

* Εγκαταστεί έναν Socks5 PROXY SERVER.

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ Backdoor.Graybird.G ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Απενεργοποιήστε Το System Restore (Windows Me/XP).
2) Κάντε Update τα τελευταία Virus Definitions.
3) Κάντε ένα Full System Scan Και Διαγράψτε Όλα Τα Αρχεία Που Θα Βρεθούν Ώς Backdoor.Graybird.G.
4) Διαγράψτε τις τιμές που προστέθηκαν στην Registry.
5) Μπείτε στο αρχείο Win.ini και διορθώστε τις αλλαγές που έχουν γίνει

Για Περισσότερες Πληροφορίες Για Τον Backdoor.Graybird.G Πατήστε ΕΔΩ

Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες