Name:BDS/HacDef.FV.1.A
Entdeckt am:27/07/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:88.576 Bytes
MD5 Prüfsumme:f2c34a56a33ee7a22e77a217f5c9e92b
VDF Version:6.35.01.08
IVDF Version:6.35.01.08

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: BackDoor-DIZ
   •  Kaspersky: Backdoor.Win32.HacDef.fw
   •  F-Secure: Backdoor.Win32.HacDef.fw
   •  Sophos: Troj/HacDef-DJ
   •  Bitdefender: Backdoor.Hacdef.AG


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%Hex Werte%



Folgender Registryschlüssel wird geändert:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Alter Wert:
   • "(default)"=dword:0000000d
   Neuer Wert:
   • "(default)"=dword:0000000e

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 135363240

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Teodor Onisor am Montag, 2. Oktober 2006
Die Beschreibung wurde geändert von Teodor Onisor am Montag, 2. Oktober 2006

zurück . . . .