Name:BDS/Improg.2
Entdeckt am:03/01/2006
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:39.423 Bytes
MD5 Prüfsumme:886f3af525142488e4ad06a812755af5
VDF Version:6.29.00.9

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\nerodll.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Hintertür Kontaktiert Server:
Den folgenden:
   • flashflashmx.3322.org

Hierdurch werden Hintertürfunktionen bereitgestellt.

 Injektion – Es injiziert sich in einen Prozess.

    Ein Prozess welcher unter folgendem Reigistryschlüssel registriert ist:
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   Schlägt dies fehl so bleibt die Malware weiterhin als Prozess aktiv.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 3. Januar 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 20. Februar 2006

zurück . . . .