15 listopada 2004

UWAGA! Backdoor.Hackarmy.a

Jest to backdoor otwierający zainfekowany komputer na potencjalne zdalne ataki. Ma postać pliku PE EXE o rozmiarze około 19 KB (kompresja UPX, rozmiar po rozpakowaniu - około 27 KB). Szkodnik jest kontrolowany za pośrednictwem kanałów IRC. Haker ma możliwość pobierania i uruchamiania plików na zainfekowanym komputerze.

Podczas instalacji szkodnik kopiuje się do foldera \Windows\System z nazwą win32server.scr i tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Winsock32driver" = "%System%\win32server.scr"

W celu łączenia się z kanałami IRC backdoor wykorzystuje port 6667. Po nawiązaniu połączenia haker może wykonywać zdalnie na zainfekowanym komputerze następujące operacje:

  • pobieranie i uruchamianie plików,
  • zamykanie procesów,
  • wyszukiwanie i wysyłanie informacji o systemie oraz o użytkowniku.

Inne znane nazwy szkodnika

BackDoor-AZV.gen (McAfee),   Backdoor.Hacarmy (Symantec),   BackDoor.Hackamy (Doctor Web),   Troj/Hackarmy-A (Sophos),   Backdoor:Win32/Hackarmy.A (RAV),   BKDR_HACKARMY.A (Trend Micro),   BDS/Hackarmy.BW (H+BEDV),   Win32:Trojan-gen. (ALWIL),   BackDoor.Hackarmy.A (Grisoft),   Backdoor.Hackarmy.A (SOFTWIN)