HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

BackDoor-G2.svr.21

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: BackDoor-G2.svr.21   3/7/2009, 16:12

VIRUS INFO
Naziv virusa: BackDoor-G2.svr.21
Alias: Backdoor.Dest, SubSeven
Tip: remote access trojanac
Način širenja: preko nekog od TCP portova (obično je to 27374)
Veličina: oko 60Kb
Destruktivan:ne
Datum aktiviranja:
Otkriven: 16.12.1999.

OBJAŠNJENJE
Ovo je prva verzija ovog trojanca koji je vremenom menjan od strane autora.

Obično stiže kao e-mail od nepoznate osobe kao *.JPG ili *.BMP fajl a može i da se proširi na Vaš računar dok ste konektovani na Internet komunikacionim hakerskim programom NETBIOS, pri čemu ne znate da je neko snimio na Vaš računar te fajlove, a zatim ih izvršio.

Prilikom izvršavanja pristiglog fajla, virus kreira dva fajla u C:\WINDOWS direktorijumu: MSREXE.EXE, dok se za naziv drugog fajla koriste sledeća imena: RUN.EXE, WINDOS.EXE ili MUEEXE.EXE.

MSREXE.EXE je deo trojanca koji se ponaša kao server, tj. kada se korisnik konektuje na Internet obaveštava mediatora da ste konektovani. Mediator je osoba koja je poslala Vama namerno ovog trojanca kako bi mogla da upravlja Vašim računarom. Kada mediator vidi da ste konektovani, aktivira drugi deo trojanca. Prilikom skeniranja hard diska antivirusni program ovaj fajl može biti prepoznat kao BackDoor-G2.svr ili BackDoor-G2.svr.gen virus. Drugi deo ovog trojanca, klijent program, je zadužen za čuvanje konfiguracionih fajlova koje Vam pošalje mediator. Ovaj fajl prilikom skeniranja hard diska antivirusnim programom može prepoznati kao BackDoor-G2.cfg ili BackDoor-G2.cli virus.

Virus izmeni i stavke u:

WIN.INI - pod stavkom "run=",
SYSTEM.INI - pod stavkom "run="

i promeni sledeće stavke u Registry bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices\,
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion\Run\ i HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command \ (Default).

Promenom zadnje vrednosti ključa "%1" %*" na "mueexe.exe "%1" %*" virus sebi omogućava da svaki put kada korisnik aktivira ili zatrazi neki fajl sa *.EXE ekstenzijom, aktiviraće i samu serversku aplikaciju ovog virusa, ako već pre toga nije aktivirana.

Virus registruje i ekstenziju *.DL koja može da se aktivira kao i bilo koji drugi izvršni fajl. Ovim potezom mediator je u mogućnosti da korisniku pošalje virus sa ovom ekstenzijom a da korisnikov antivirusni program ne prepozna da mu mediator šalje virus i da ga izvršiti na njegovom računaru.

REŠENJE
oUkloniti sledeće ključeve u Registry bazi:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices\
i
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run\
gde treba da stoji ["%1" %*].

Treba obrisati i stavku:
HKEY_CLASSES_ROOT\.dl.

Za one malo ne iskusnije, preuzmite Regcleaner za Backdoor-G2.

U fajlovima treba da stoji samo:

WIN.INI - u odeljku [windows] pod stavkom "run="
SYSTEM.INI - u odeljku [boot] pod stavkom "run=Explorer.exe".

Osveženi antivirusni program.
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

BackDoor-G2.svr.21

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software :: Šta su to virusi, trojanci i crvi, i kako ih prepoznati... -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | Have a free blog with Sosblogs