Vollständige Virenbeschreibung

Name:	BDS/Ciadoor.BO
Entdeckt am:	30/07/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel bis hoch
Statische Datei:	Ja
Dateigröße:	1.218.748 Bytes
MD5 Prüfsumme:	655e5c9ea699d5ead17ad63529e09fe7
VDF Version:	6.35.1.21
IVDF Version:	6.35.1.21

Allgemein Aliases:
   • Kaspersky: Backdoor.Win32.Ciadoor.bo
   • Bitdefender: Backdoor.Ciadoor.FA

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\tz2L7ah3Pa.ini
   • %SYSDIR%\Directx.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\del32.bat

– %SYSDIR%\drivers\oreans32.sys
– %SYSDIR%\wsock32.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Ciadoor.13.B

– %SYSDIR%\ckl009.dat Diese Datei enthält gesammelte Tastatureingaben.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"
   •

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "shell"="Explorer.exe %SYSDIR%\DirectX.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • Generic Host Process"="%SYSDIR%\DirectX.exe"

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
   • "Generic Host Process"="%SYSDIR%\DirectX.exe"

Der Wert des folgenden Registry keys wird gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Folgende Registryschlüssel werden hinzugefügt:

– HKCR\N.Cs4\Clsid
   • "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"

– HKCR\N.Cs4
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
   • "(Default)"="3.0"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
   • "(Default)"="N.Cs4"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
   • "Version"="3.0"
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
   • "(Default)"="Cs4"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
   • "(Default)"="%SYSDIR%"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
   • "(Default)"="N"

– HKCU\Software\VB and VBA Program Settings\set\set
   • "set"="tz2L7ah3Pa.ini"

– HKLM\SYSTEM\ControlSet003\Services\Messenger
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\ATS
   • "Start"=dword:00000000

– HKCU\Software\Policies\Microsoft\Windows\System
   • "DisableCMD"=dword:00000001

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
   • "Disabled"=dword:00000000

– HKCR\..DlI
   • "(Default)"="exefile"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%SYSDIR%\DirectX.exe"

– HKLM\SYSTEM\ControlSet001\Services\SENS
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\SENS
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\SENS
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Nla
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\Nla
   Neuer Wert:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet003\Services\Nla
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Messenger
   Neuer Wert:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet002\Services\Messenger
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\ATS
   Neuer Wert:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\ATS
   Neuer Wert:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   Alter Wert:
   • "load"=""
   Neuer Wert:
   • "load"="%SYSDIR%\DirectX.exe"

Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücken werden ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Hintertür Kontaktiert Server:
Den folgenden:
   • doener.no-ip.**********:314

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Aktueller Benutzer
    • Informationen über laufende Prozesse
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Verzeichniswechsel
    • Datei kopieren
    • Datei löschen
    • Verzeichnis auflisten
    • Anzeige einer Meldung
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • Datei verschieben
    • System neu starten
    • Emails verschicken
    • System herunterfahren
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:

– Aufgezeichnet wird:
• Tastaturanschläge
• Fensterinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wsock32.sys

– Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORER.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Diverses Anti Debugging
War dies erfolgreich wird folgendes angezeigt und danach sofort beendet:

Rootkit Technologie Versteckt folgendes:
– Eigene Registryschlüssel

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Montag, 31. Juli 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Freitag, 4. August 2006

zurück . . . .