Backdoor.Sdbot.AT
Pagina 1 di 1
Backdoor.Sdbot.AT
Admin Gio Dic 03, 2009 12:10 am
La rivista di informatica online
Home Articoli Area Download Forum Blog Scrivici
Donazioni
Spot
Attenzione!
Il nuovo CityNews è online!
ATTENZIONE! CityNews dal 18 ottobre 2008 si è rinnovato, nella grafica e nell'organizzazione dei contenuti.
Se siete in questa pagina, state navigando nell'archivio news del vecchio sito.
Per scoprire tutte le novità del nuovo portale e leggere le news aggiornate, successive alla data del 17 ottobre 2008, e gli ultimi articoli pubblicati cliccate qui!
Articoli :: Database Virus
Backdoor.Sdbot.AT
Inviato da: Admin Data: 26/4/2007 Numero di letture: 13
CARTA D'IDENTITA'
Tipo di minaccia: cavallo di troia
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Apre una porta di comunicazione sul pc permettendo a un aggressore remoto di controllare il computer infetto. Abbassa le impostazioni della sicurezza.
COSA FA
Una volta eseguito, Backdoor.Sdbot.AT effettua le seguenti azioni:
1. Si copia nella posizione seguente:
%Windir%\sql-dgm.exe
2. Elimina il file originale.
3. Registra questo componente rilasciato come servizio. Il servizio è impostato per essere avviato automaticamente all'avvio di Windows.
La seguente sottochiave del registro viene creata dopo la registrazione del servizio: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SQLGDM
4. Rilascia un eseguibile incorporato nella seguente posizione:
%System%\remon.sys
5. Genera le seguenti sottochiavi del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remon per registrare il suddetto file come servizio.
6. Abbassa le impostazioni della sicurezza disabilitando i seguenti servizi di Windows:
* wscsvc
* SharedAccess
* Messenger
* Tlntsvr
* RemoteRegistry
7. Modifica il valore:
"AutoShareWks" = "0" nei seguenti registri:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
per disabilitare le condivisioni amministrative sul computer infetto.
8. Modifica il valore:
"AutoShareServer" = "0"
"AutoShareWks" = "0" nella sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
9. Modifica il valore:
"DoNotAllowXPSP2" = "1"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
10. Modifica il valore:
"EnableFirewall" = "0" nella sottochiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
11. Modifica i valori:
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1" nella sottochiave del registro:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Policies\System
12. Modifica il valore:
"EnableDCOM" = "N"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
13. Modifica il valore:
"WaitToKillServiceTimeout" = "7000"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
14. Modifica i valori:
"UpdatesDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
15. Prova a contattare il seguente sito Web per indicare la posizione del computer infetto:
fire.hylon-system*****
16. Apre una backdoor e consente ad un aggressore remoto di avere accesso non autorizzato al computer infetto.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Voti
10987654321
API: PM Email PDF Bookmark Print | RSS | RDF | ATOM
L'ArgoNauta
La nascita de "l'Argonauta"
Il 1 Ottobre 2008, nasce "l’Argonauta", il portale della comunicazione. Ci sono vari modi di intendere la comunicazione, si possono dare varie definizioni di essa a seconda del contesto a cui ci si riferisce. Qui per comunicazione si intenderanno tutte le forme di espressione dell’uomo, che crea prodotti per relazionarsi agli altri.
www.largonauta.tk
Privacy Policy - Note legali - Supportaci - Ringraziamenti - Redazione - Fai una donazione - Siti Partner - Collabora con noi - Scrivici
Tutti i contenuti di Citynews.org sono pubblicati secondo la licenza di utilizzo Creative Commons, salvo diverse indicazioni.
Home Articoli Area Download Forum Blog Scrivici
Donazioni
Spot
Attenzione!
Il nuovo CityNews è online!
ATTENZIONE! CityNews dal 18 ottobre 2008 si è rinnovato, nella grafica e nell'organizzazione dei contenuti.
Se siete in questa pagina, state navigando nell'archivio news del vecchio sito.
Per scoprire tutte le novità del nuovo portale e leggere le news aggiornate, successive alla data del 17 ottobre 2008, e gli ultimi articoli pubblicati cliccate qui!
Articoli :: Database Virus
Backdoor.Sdbot.AT
Inviato da: Admin Data: 26/4/2007 Numero di letture: 13
CARTA D'IDENTITA'
Tipo di minaccia: cavallo di troia
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Facile
Apre una porta di comunicazione sul pc permettendo a un aggressore remoto di controllare il computer infetto. Abbassa le impostazioni della sicurezza.
COSA FA
Una volta eseguito, Backdoor.Sdbot.AT effettua le seguenti azioni:
1. Si copia nella posizione seguente:
%Windir%\sql-dgm.exe
2. Elimina il file originale.
3. Registra questo componente rilasciato come servizio. Il servizio è impostato per essere avviato automaticamente all'avvio di Windows.
La seguente sottochiave del registro viene creata dopo la registrazione del servizio: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SQLGDM
4. Rilascia un eseguibile incorporato nella seguente posizione:
%System%\remon.sys
5. Genera le seguenti sottochiavi del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remon per registrare il suddetto file come servizio.
6. Abbassa le impostazioni della sicurezza disabilitando i seguenti servizi di Windows:
* wscsvc
* SharedAccess
* Messenger
* Tlntsvr
* RemoteRegistry
7. Modifica il valore:
"AutoShareWks" = "0" nei seguenti registri:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
per disabilitare le condivisioni amministrative sul computer infetto.
8. Modifica il valore:
"AutoShareServer" = "0"
"AutoShareWks" = "0" nella sottochiave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
9. Modifica il valore:
"DoNotAllowXPSP2" = "1"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
10. Modifica il valore:
"EnableFirewall" = "0" nella sottochiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
11. Modifica i valori:
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1" nella sottochiave del registro:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Policies\System
12. Modifica il valore:
"EnableDCOM" = "N"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
13. Modifica il valore:
"WaitToKillServiceTimeout" = "7000"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
14. Modifica i valori:
"UpdatesDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
nella sottochiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
15. Prova a contattare il seguente sito Web per indicare la posizione del computer infetto:
fire.hylon-system*****
16. Apre una backdoor e consente ad un aggressore remoto di avere accesso non autorizzato al computer infetto.
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Voti
10987654321
API: PM Email PDF Bookmark Print | RSS | RDF | ATOM
L'ArgoNauta
La nascita de "l'Argonauta"
Il 1 Ottobre 2008, nasce "l’Argonauta", il portale della comunicazione. Ci sono vari modi di intendere la comunicazione, si possono dare varie definizioni di essa a seconda del contesto a cui ci si riferisce. Qui per comunicazione si intenderanno tutte le forme di espressione dell’uomo, che crea prodotti per relazionarsi agli altri.
www.largonauta.tk
Privacy Policy - Note legali - Supportaci - Ringraziamenti - Redazione - Fai una donazione - Siti Partner - Collabora con noi - Scrivici
Tutti i contenuti di Citynews.org sono pubblicati secondo la licenza di utilizzo Creative Commons, salvo diverse indicazioni.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.