Name:BDS/Bandok.R.2
Entdeckt am:20/12/2005
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:20.480 Bytes
MD5 Prüfsumme:4A69364DF3EA6AF14FCEAFA910C2502B
VDF Version:6.33.00.25

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Backdoor.Win32.Bandok.r


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\msnmsgr.exe



Folgende Datei wird gelöscht:
   • c:\ali.html

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "*none"="%SYSDIR%\msnmsgr.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "bndkrt"="1648|msnmsgr.exe|none|1930|x|"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C6AB07ND-ADF3-4F02-0EE5-A156BTF-8AZ9}]
   • "StubPath"="%SYSDIR%\msnmsgr.exe"

 Hintertür Kontaktiert Server:
Den folgenden:
   • **********.servemp3.com

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Versteckte Passwörter
    • Informationen über laufende Prozesse


Möglichkeiten der Fernkontrolle:
    • Datei löschen
    • Verzeichnis auflisten
    • Datei herunterladen
    • Datei bearbeiten
    • Datei ausführen
    • Prozess abbrechen
    • Port Weiterleitung durchführen
    • Starte Tastaturüberwachung
    • Datei Hinaufladen
    • Besuch einer Webseite

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • bandook13

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 20. Dezember 2005
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 20. Dezember 2005

zurück . . . .