BAckdoor.Tood.B
Pagina 1 di 1
BAckdoor.Tood.B
Admin Gio Dic 03, 2009 12:09 am
CARTA D'IDENTITA'
Tipo di minaccia: trojan horse
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Apre una porta di comunicazione (8062) e manda informazioni a chi l'ha prodotto.
COSA FA
Quando viene eseguito, si comporta nel modo seguente:
1. Crea una copia di se stesso col nome:
%Windir%\svchost.exe
2. Aggiunge il valore:
"SVCHOST Generic Application" = "%Windir%\svchost.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
così si seguirà ad ogni avvio di windows.
4. Apre la porta di comunicazione 8062 e attende comandi da un hacker da remoto.
5. Tenta il contatto con i seguenti siti internet:
* [http://]www.microsoft.com/[RIMOSSO]
* [http://]windowsupdate.microsoft.com/[RIMOSSO]
* [http://]www.vistachecker.com/show.php?[RIMOSSO]
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: trojan horse
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Apre una porta di comunicazione (8062) e manda informazioni a chi l'ha prodotto.
COSA FA
Quando viene eseguito, si comporta nel modo seguente:
1. Crea una copia di se stesso col nome:
%Windir%\svchost.exe
2. Aggiunge il valore:
"SVCHOST Generic Application" = "%Windir%\svchost.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
così si seguirà ad ogni avvio di windows.
4. Apre la porta di comunicazione 8062 e attende comandi da un hacker da remoto.
5. Tenta il contatto con i seguenti siti internet:
* [http://]www.microsoft.com/[RIMOSSO]
* [http://]windowsupdate.microsoft.com/[RIMOSSO]
* [http://]www.vistachecker.com/show.php?[RIMOSSO]
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.