Vollständige Virenbeschreibung

Name:	BDS/PcClient.JG
Entdeckt am:	25/12/2005
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	46.439 Bytes
MD5 Prüfsumme:	831b22781ea5f2683cf8468f489065c0
VDF Version:	6.33.00.64

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Bitdefender: Backdoor.PcClient.HP

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\mesqrilw.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/PcClient.hp.1.B

– %SYSDIR%\mesqrilw.drv Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/PcClient.kf.1

– %SYSDIR%\drivers\mesqrilw.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/PcClient.hp.1.C

– %SYSDIR%\mesqrilw.log Diese Datei enthält gesammelte Tastatureingaben.

Es wird versucht folgende Datei auszuführen:

– Dateiname:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   Alter Wert:
   • ServiceDll = %SYSDIR%\sens.dll
   Neuer Wert:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

Hintertür Kontaktiert Server:
Den folgenden:
• http://dynsev5299.2mydns.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\mesqrilw.dll

    Prozessname:
   • iexplorer.exe

– Es injiziert folgende Datei in einen Prozess: %SYSDIR%\mesqrilw.drv

    Prozessname:
   • iexplorer.exe

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess
– Eigene Registryschlüssel

– Dateien welche folgende Zeichenkette in ihrem Dateinamen enthalten:
   • mesqrilw.

Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 21. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 21. April 2006

zurück . . . .