Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web ha studiato un worm che infetta archivi e rimuove altri trojan

13 gennaio 2017

Worm — programmi malevoli che sono in grado di diffondersi in autonomo, ma non possono infettare file eseguibili. Gli analisti dei virus Doctor Web hanno studiato uno di questi programmi malevoli che infetta archivi RAR, rimuove altre applicazioni pericolose e per diffondersi utilizza il sistema di accesso in remoto VNC.

Il worm, denominato BackDoor.Ragebot.45, ottiene comandi attraverso il protocollo di scambio di messaggi testuali IRC (Internet Relay Chat). Per farlo, si connette a un canale di chat attraverso cui i malfattori impartiscono le relative direttive di gestione.

screen BackDoor.Ragebot.45 #drweb

Dopo aver infettato un computer Windows, BackDoor.Ragebot.45 ci avvia un server FTP, utilizzando il quale, scarica una propria copia sul PC. Quindi scansiona le reti disponibili, cercando nodi con la porta 5900 aperta, una porta che viene utilizzata per organizzare una connessione tramite il sistema dell'accesso remoto al desktop Virtual Network Computing (VNC). Una volta rilevata tale macchina, BackDoor.Ragebot.45 tenta di ottenerci l'accesso non autorizzato, utilizzando il metodo di forza bruta per trovare la password.

Se il worm ha potuto hackerare la macchina, stabilisce una connessione VNC con il computer remoto e ci invia segnali di battiture attraverso cui lancia l'interprete dei comandi CMD ed esegue un codice per scaricare una propria copia tramite il protocollo FTP. Così il worm si diffonde automaticamente.

Un'altra funzione di BackDoor.Ragebot.45 è la ricerca e l'infezione di archivi RAR su supporti rimovibili. Dopo aver scoperto un archivio RAR, il worm ci mette una sua copia con il nome setup.exe, installer.exe, self-installer.exe o self-extractor.exe. Per un'infezione del computer riuscita, l'utente deve avviare in autonomo il file eseguibile estratto dall'archivio.

Inoltre, il trojan si copia nella cartella del client ICQ e di una serie di programmi studiati per stabilire connessioni P2P. Una volta ottenuto il relativo comando dei malintenzionati, BackDoor.Ragebot.45 cerca nel sistema altri trojan e se ne trova alcuni, termina i loro processi e rimuove i file eseguibili. Il trojan dispone di specifiche "white list" contenenti i nomi dei file (principalmente dei file di sistema di Windows) che lui ignora, permettendo loro di funzionare sulla macchina infetta.

Qualche tempo fa i campioni di una delle versioni vecchie di BackDoor.Ragebot.45 sono arrivati in libero accesso. Si può presumere che grazie a questa disponibilità il programma malevolo verrà distribuito attivamente anche in seguito. Antivirus Dr.Web rileva e rimuove BackDoor.Ragebot.45 per cui questo trojan non comporta pericoli per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A