Logo
HomeSpacerDownloadSpacerForumSpacerGallerySpacer
 Principal > Foros gratis > > Antivirus > Foro Virus > BackDoor.Rebbew (A, B, C, D) Trojan
 
Navigator
Principal
Articulos de Noticias
Contact Us
Descargar gratis
Foros gratis
Fotos gratis
Tutoriales
Noticias Hoy
Newsletter
RSS Feeds
Buscador
Sitemap
Submission
Encuestas y sondeos
User Page
Tags
Topics
Archive
User Block
Hola Invitado
IP: 38.107.191.97

Nombre de usuario
Contraseña
Arrow Foros gratis
RSSReply
BackDoor.Rebbew (A, B, C, D) Trojan
AutorTexto
Virus
Invitado

Email
Fecha: 27/11/2008 09:41
BackDoor.Rebbew (A, B, C, D) Trojan		#post14
BackDoor.Rebbew (A, B, C, D)
(Trojan.Webber (KAV))
Difundir: baja la descarga herramienta de eliminación
Daños: medio
Tamaño: ~ 39K
Descubierto: 21 julio 2003



Síntomas:

DESCRIPCIÓN TÉCNICA:

Esta puerta trasera no es en la naturaleza, pero debido a las nuevas técnicas que utiliza la puerta de atrás (con todo el proceso de invisibilidad bajo Windows 9x/Me y Windows 2000/XP) hemos decidido poner en libertad a este asesoramiento.

La puerta trasera viene en mensajes de correo electrónico buscando de este modo:

De: Wells Fargo de contabilidad

Asunto: Re: Wells Fargo Bank Nuevos Negocios Solicitud de cuenta - ID # 4489

A: Alguien someone@domain.com

Estimado señor:

Gracias por su solicitud en línea para una empresa cuenta con Wells Fargo. Agradecemos su
interés en la banca con nosotros.

Con el fin de abrir una cuenta de negocios, tenemos que recibir la información de crédito que es verificable.
Wells Fargo porque no tiene lugares en su estado, no podemos confirmar la información de crédito
en su aplicación. En consecuencia, lamentamos decir que no podemos abrir una cuenta para su negocio
en este momento.

Se adjuntan a su solicitud de Wells Fargo y su Archivo de Seguridad Social.

Atentamente,

Sherli Chin
Centro de recursos de la empresa de servicios
Wells Fargo Bank

Cuando el usuario abre el adjunto (detectado por BitDefender como Trojan.Downloader.Rebbew), el programa descifra su interior las cadenas y los intentos de descarga desde la web de los principales programa de puerta trasera, y luego lo ejecuta. En primer lugar, la puerta trasera trata de ver si ya residentes en memoria (que no esta tratando de abrir el objeto mutex "Webber10_"Smile y si no, que se instala en la memoria.

A continuación, se hace una copia de sí mismo en el directorio System32, utilizando un azar nombre de archivo generado, sino que también desciende un archivo DLL en el directorio System32, que se utiliza para ejecutar el programa principal puerta trasera.

La puerta trasera altera la clave del Registro

HKLM SOFTWARE Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad

mediante la adición de ahí la disminuyó DLL; como resultado de ello, en cada inicio de Windows el archivo DLL se carga (y empieza la principal puerta trasera)

La puerta trasera puede configurarse fácilmente: el archivo ejecutable principal tiene otros datos adjunto, y que utiliza este extra de datos como un archivo de configuración, en el inicio. Estos datos pueden ser usados para especificar los puertos la puerta de atrás a la escucha, los sitios en los que cargar los datos confidenciales que agarró de la computadora y así sucesivamente.

La puerta trasera agarra contraseñas (ambos RAS y formulario web-based) y los envía al atacante.

La parte interesante de esta puerta trasera es su capacidad para ejecutarse en modo sigilo, en tanto 9x/Me Windows 2000/XP y sistemas. El proceso de puerta trasera se oculta en una forma bastante avanzada:

En Windows 9x/Me, la puerta de atrás ganchos Process32Next la función, cuando un programa intenta enumerar los procesos, la puerta de atrás "filtros" su propio proceso.

En Windows 2000/XP, la puerta de atrás ganchos NtQuerySystemInformation la función, y los filtros de su propio proceso.
La captura mundial de la técnica utilizada por esta puerta trasera es interesante: se ahorra los primeros 5 bytes de la función de los lugares a continuación, hay una instrucción JMP. La función se almacena en el área de memoria entre el PE y la cabecera de los datos reales (generalmente rellena con ceros, debido a la alineación de archivo), de Kernel32.dll (por 9x/Me) y ntdll.dll (para 2000/XP).

Para 9x, evidentemente, el método funciona, sólo hay un Kernel32.dll en la memoria, y escribir a un núcleo de la zona es visible en todos los procesos.

En virtud de la 2000/XP las cosas son diferentes en cada proceso recibe su propia copia de la biblioteca del sistema de archivos, protegidos por el Comité Plenario (copy-on-escritura) mecanismo. Cuando un proceso intenta escribir en un sistema de una DLL, el sistema crea automáticamente una copia, escribe los datos de esa copia, dejando a la DLL original inalterada. Sin embargo, la puerta de atrás utiliza un truco para escribir en ntdll.dll 's área de memoria.
Instrucciones de eliminación:

El virus de BitDefender Analizar Equipo ha releasead un libre herramienta de eliminación de este virus.

Importante: Usted tendrá que cerrar todas las aplicaciones antes de ejecutar la herramienta (incluido el antivirus escudos) y que reinicie el equipo después. Además le 'll tienen que eliminar manualmente los archivos infectados encuentra en los archivos infectados y los mensajes de tu cliente de correo.

El BitDefender Antirebew-en.exe herramienta hace lo siguiente:

detecta todas las versiones conocida BackDoor.Rebbew encuentra en la memoria;

que elimina el virus ganchos (por lo tanto, la puerta trasera proceso será plenamente visible a la herramienta de BitDefender)

Elimina los archivos infectados con el BackDoor.Rebbew;
Delete Edit Quote
 
Reply
Tags informAticos letales virus
 
Gratis ya 2000 @ 2010