Name:BDS/Verify.K.1
Entdeckt am:06/03/2005
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:32.256 Bytes
MD5 Prüfsumme:e7d155c42fe5e7d13f92e533436c5bda
VDF Version:6.30.00.225

 Allgemein Verbreitungsmethode:
   • Peer to Peer


Aliases:
   •  Symantec: Backdoor.Verify
   •  Mcafee: BackDoor-CNQ
   •  Kaspersky: Backdoor.Win32.Verify.k
   •  TrendMicro: BKDR_VERIFY.E
   •  F-Secure: BACKDOOR PROGRAM
   •  Grisoft: BackDoor.Small.43.J
   •  Bitdefender: Backdoor.Verify.K


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %Wurzelverzeichnis des Systemlaufwerks%\MsBootMgr.exe



Folgende Dateien werden umbenannt:

    •  ntldr nach loveyou_pTH
    •  msdos.sys nach loveyou_pTH.sys



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

%WINDIR%\smss.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Verify.J.1

%SYSDIR%\MsIdle32Hook.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Verify.H.2

%SYSDIR%\MsIdle32loader.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Verify.K




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\pVF_update.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist folgender:
   • pVF2@pMK.pTH
Der Empfänger der Email ist folgender:
   • pMK29A@yahoo.com


Betreff:
Folgende:
   • pVF v2 Report



Body:
Der Inhalt stammt aus der Datei: pMK_kLog.txt



Die Email sieht wie folgt aus:


 Versand MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


   Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe


 Prozess Beendigung Liste der Prozesse die beendet werden:
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE


 Hintertür Die folgenden Ports werden geöffnet:

%ausgeführte Datei% am TCP Port 1907 um eine Shell zur Verfügung zu stellen.
%ausgeführte Datei% am TCP Port 1906 um Backdoor Funktion zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • ftp://ftp22.websamba.**********

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Computername
    • Umgebungsvariablen
    • Benutzername
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Emails verschicken
    • Starte Tastaturüberwachung
    • Prozess beenden
    • Datei Hinaufladen

 Diebstahl – Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
   •  securit
   •  dial
   •  credit
   •  admin
   •  pass
   •  ftp
   •  mail
   •  profile
   •  account
   •  regist
   •  sign
   •  log on
   •  log in
   •  logon
   •  login

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • ::. Love_you_pTH .::


String:
Des Weiteren enthält es folgende Zeichenkette:
   • ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Ionut Slaveanu am Mittwoch, 3. Mai 2006
Die Beschreibung wurde geändert von Ionut Slaveanu am Donnerstag, 4. Mai 2006

zurück . . . .