Методы обнаружения вирусов

BackDoor.Termuser открывает несанкционированный доступ к зараженным компьютерам

20.06.2011

Появилась вредоносная программа BackDoor.Termuser, реализующей на зараженном компьютере функции бэкдора и открывающей к нему доступ злоумышленникам.

Предположительно, этот бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов. Непосредственно после загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО.

Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы «администраторы» и «пользователи удалённого рабочего стола», после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Данный троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

Загрузившись в операционной системе, бэкдор BackDoor.Termuser не только не позволяет запускать антивирусные программы, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам. В целях профилактики заражения этим вредоносным ПО пользователям рекомендуется регулярно устанавливать обновления безопасности Windows, а также выполнять проверку компьютера антивирусом Dr.Web.

По материалам компании «Доктор Веб»

НОВОЕ НА САЙТЕ

19 февраля 2019 года

Специалисты корпорации Доктор Веб» находят в каталоге гугл Play шабаш более троянцев семейства Android.HiddenAds, специализированных для показа назойливой рекламы. С основания февраля было выявлено почитай 40 новеньких трансформаций... Горячая лента угроз и предупреждений о вирусной опасности!

19 февраля 2019 года

Компания «Доктор Веб» информирует о возвращении набора «Малый бизнес» в витрину интернет-магазина estore.drweb.ru. Благодаря Телепорту Dr.Web стать воспользоваться продуктами набора можно моментально же далее покупки, закончить дожидаясь п... Антивирус Dr.Web

18 февраля 2019 года

Компания «Доктор Веб» воображает листовку о обороне индивидуальных данных, которая объясняет основополагающие положения законодательства о обороне ПД.

Тема обороны индивидуальных заданных у любых на слуху, однако коли закончить исследовать данный проблема преднамеренно — в заинтересованностях бизнеса либо... Антивирус Dr.Web

18 февраля 2019 года

Компания «Доктор Веб» информирует о состоявшемся продлении срока деяния сертификата соответствия ФСТЭК нашей родины №3509 на продовольствие комплекса Dr.Web Enterprise Security Suite.

Бизнес-продукты Dr.Web – с продленным сроком деяния сертификата соответствия ФСТЭК РоссииАнтивирус Dr.Web

15 февраля 2019 года

Компания «Доктор Веб» информирует о смене раньше обновленного обслуживания перехвата трафика Dr.Web Net-filtering Service (12.0.3.01221) на версию 12.0.1.10260 в продуктах Dr.Web Security Space 12.0 так что Антивирус Dr.Web 12.0.

Антивирус Dr.Web