Name:BDS/Agent.FK.2
Entdeckt am:12/09/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:66.560 Bytes
MD5 Prüfsumme:8b1989f14257e9a05044d34d94d1af47
VDF Version:6.35.01.215
IVDF Version:6.35.01.219 - Mittwoch, 13. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Agent.fk
   •  TrendMicro: BKDR_AGENT.ETZ
   •  F-Secure: Backdoor.Win32.Agent.fk
   •  Grisoft: BackDoor.Agent.CJW
   •  Eset: Win32/Agent.NBG


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Zeichnet Tastatureingaben auf
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\w32setng.dat
%SYSDIR%\Netx1.dat Diese Datei enthält gesammelte Tastatureingaben.
%SYSDIR%\Netx2.dat Diese Datei enthält gesammelte Tastatureingaben.
%SYSDIR%\Netxk.datQ Diese Datei enthält gesammelte Tastatureingaben.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.geocities.com/sbstnrother/**********
Diese wird lokal gespeichert unter: %temporary internet files%\ngaq.zip Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: paln.fw.**********
Port: 4668
Channel: #net2
Nickname: USA|%Betriebssystem%|%vierstellige zufällige Buchstabenkombination%

Server: srother.kwik.**********
Port: 4669
Channel: #net1
Nickname: USA|%Betriebssystem%|%vierstellige zufällige Buchstabenkombination%

Server: quant.mooo.**********
Port: 4669
Channel: #net3
Nickname: USA|%Betriebssystem%|%vierstellige zufällige Buchstabenkombination%



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Informationen über laufende Prozesse
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • Prozess abbrechen
    • Starte Tastaturüberwachung
    • Prozess beenden

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.cnn.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PECompact2

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 13. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 13. Oktober 2006

zurück . . . .