Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Технические детали
Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Является приложением Windows (PE-EXE файл). Имеет размер 221184 байта. Написана на C++.Инсталляция
После запуска бэкдор просматривает ключи в следующих ветвях автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
При этом бэкдор пытается перезаписать содержимое файлов, пути к которым указаны в качестве значений перебираемых ключей, содержимым своего оригинального файла. При этом для противодействия сигнатурным сканерам антивирусных программ в создаваемой копии модифицируются 4 байта: 
На момент создания описания созданная копия детектировалась только эвристическим анализатором Антивируса Касперского ("HEUR:Backdoor.Win32.Generic").
Деструктивная активность
После запуска троянец выполняет следующие действия:- для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
{A37340FD-F043-41e3-9C16-2F2632387199}
- Устанавливает соединение со следующим хостом:
221.***.209
После этого бэкдор по команде злоумышленника может загружать на зараженный компьютер другие вредоносные программы и запускать их на выполнение. Загруженные файлы сохраняются в каталоге:%APPDATA%\<rnd1>\<rnd2>
где <rnd1>, <rnd2> – случайные последовательности символов.
На момент создания описания сервер с указанным IP-адресом не работал. - Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Проверить содержимое файлов, прописанных в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]Удалить копии, созданные бэкдором. - Удалить файлы:
%APPDATA%\<rnd1>\<rnd2>
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
- Trojan:
Generic BackDoor!cup (McAfee) - Mal/Generic-L (Sophos)
- W32/OnlineGames.
F. gen!Eldorado (FPROT) - TrojanDownloader:
Win32/Unruy. I (MS(OneCare)) - Win32/Agent.
OCR trojan (Nod32) - Gen:
Variant. Unruy. 5 (BitDef7) - Trojan.
DL. Unruy!Pyou0VCWMo4 (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan-Downloader.
Win32. Unruy (Ikarus) - TR/Agent.
221184. BZ (AVIRA) - W32.
Unruy. A (NAV) - W32/Obfuscated.
FA (Norman) - Backdoor.
Win32. Gpigeon2010. yf (Rising) - Backdoor.
Win32. Banito. ayg [AVP] (FSecure) - Trojan.
Win32. OnlineGames (Sunbelt) - Trojan.
DL. Unruy!Pyou0VCWMo4 (VirusBusterBeta)
almon
alsvc
alusched
apvxdwin
ashdisp
ashmaisv
ashserv
ashwebsv
avcenter
avciman
avengine
avesvc
avgnt
avguard
avp
bdagent
bdmcon
caissdt
cavrid
cavtray
ccapp
ccetvm
cclaw
ccproxy
ccsetmgr
clamtray
clamwin
counter
dpasnt
drweb
firewalln
fsaw
fsguidll
fsm32
fspex
guardxkickoff
hsock
isafe
isafe
kav
kavpf
kpf4gui
kpf4ss
livesrv
mcage
mcdet
mcshi
mctsk
mcupd
mcupdm
mcvs
mcvss
mpeng
mpfag
mpfser
mpft
msascui
mscif
msco
msfw
mskage
msksr
msmps
msmsgs
mxtask
navapsvc
nip
nipsvc
njeeves
nod32krn
nod32kui
npfmsg2
npfsvice
nscsrvce
nvcoas
nvcsched
oascl
pavfnsvr
PXAgent
pxagent
pxcons
PXConsole
savadmins
savser
scfmanager
scfservice
scftray
sdhe
sndsrvc
spbbcsvc
spidernt
spiderui
spysw
sunprotect
sunserv
sunthreate
swdoct
symlcsvc
tsanti
vba32ldr
vir.exe
vrfw
vrmo
vsmon
vsserv
webproxy
webroot
winssno
wmiprv
xcommsvr
zanda
zlcli
zlh
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:Другие названия
Backdoor.
