VIRUS INFO
|
| Naziv
virusa: |
BackDoor-G2.svr.21 |
| Alias:
|
Backdoor.Dest,
SubSeven |
| Tip: |
remote
access trojanac |
| Način
širenja: |
preko
nekog od TCP portova (obično je to 27374) |
| Veličina: |
oko
60Kb |
Destruktivan:
|
ne |
| Datum
aktiviranja: |
|
| Otkriven:
|
16.12.1999.
|
OBJAŠNJENJE
Ovo
je prva verzija ovog trojanca koji je vremenom
menjan od strane autora.
Obično
stiže kao e-mail od nepoznate osobe kao *.JPG
ili *.BMP fajl a može i da se proširi na Vaš računar
dok ste konektovani na Internet komunikacionim
hakerskim programom NETBIOS, pri čemu ne znate
da je neko snimio na Vaš računar te fajlove, a
zatim ih izvršio.
Prilikom
izvršavanja pristiglog fajla, virus kreira dva
fajla u C:\WINDOWS direktorijumu: MSREXE.EXE,
dok se za naziv drugog fajla koriste sledeća imena:
RUN.EXE, WINDOS.EXE ili MUEEXE.EXE.
MSREXE.EXE
je deo trojanca koji se ponaša kao server,
tj. kada se korisnik konektuje na Internet
obaveštava mediatora da ste konektovani.
Mediator je osoba koja je poslala
Vama namerno ovog trojanca kako bi mogla
da upravlja Vašim računarom. Kada mediator
vidi da ste konektovani, aktivira drugi
deo trojanca. Prilikom skeniranja hard
diska antivirusni program ovaj fajl može
biti prepoznat kao BackDoor-G2.svr
ili BackDoor-G2.svr.gen virus.
Drugi deo ovog trojanca, klijent program,
je zadužen za čuvanje konfiguracionih
fajlova koje Vam pošalje mediator. Ovaj
fajl prilikom skeniranja hard diska antivirusnim
programom može prepoznati kao BackDoor-G2.cfg
ili BackDoor-G2.cli virus.
Virus
izmeni i stavke u:
WIN.INI
- pod stavkom "run=",
SYSTEM.INI - pod stavkom "run="
i promeni
sledeće stavke u Registry bazi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows
\ CurrentVersion \ RunServices\,
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows
\ CurrentVersion\Run\ i HKEY_CLASSES_ROOT
\ exefile \ shell \ open \ command \ (Default).
Promenom
zadnje vrednosti ključa "%1" %*"
na "mueexe.exe "%1" %*"
virus sebi omogućava da svaki put kada korisnik
aktivira ili zatrazi neki fajl sa *.EXE ekstenzijom,
aktiviraće i samu serversku aplikaciju ovog virusa,
ako već pre toga nije aktivirana.
Virus
registruje i ekstenziju *.DL koja može da se aktivira
kao i bilo koji drugi izvršni fajl. Ovim potezom
mediator je u mogućnosti da korisniku pošalje
virus sa ovom ekstenzijom a da korisnikov antivirusni
program ne prepozna da mu mediator šalje virus
i da ga izvršiti na njegovom računaru.
REŠENJE
oUkloniti
sledeće ključeve u Registry bazi:
HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
\ RunServices\
i
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Run\
gde treba da stoji ["%1"
%*].
Treba
obrisati i stavku:
HKEY_CLASSES_ROOT\.dl.
Za one malo ne iskusnije, preuzmite Regcleaner
za Backdoor-G2.
U fajlovima treba da stoji samo:
WIN.INI
- u odeljku [windows] pod stavkom "run="
SYSTEM.INI - u odeljku [boot] pod stavkom
"run=Explorer.exe".
Osveženi
antivirusni program.
|
