Name:BDS/GrayBird.LE
Entdeckt am:21/09/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:384.835 Bytes
MD5 Prüfsumme:aba8e6611ab80E5d747b32464674faf6
VDF Version:6.35.01.115
IVDF Version:6.35.01.116 - Montag, 21. August 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: BackDoor-ARR trojan
   •  Kaspersky: Backdoor.Win32.GrayBird.le
   •  Sophos: Troj/Bckdr-OXB
   •  Bitdefender: Backdoor.Graybird.FN


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\Hacker.com.cn.ini



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.bfliao.27h.com/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista ]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.ini"
   • "DisplayName"="Windows XP Vista "
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Enum]
   • "0"="Root\LEGACY_WINDOWS_XP_VISTA________\0000"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_WINDOWS_XP_VISTA________\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows XP Vista "

 Hintertür Der folgende Port wird geöffnet:

%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE am TCP Port 8080 um einen HTTP Server zur Verfügung zu stellen.

Möglichkeiten der Fernkontrolle:
    • Gesharte Netzlaufwerke deaktivieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • Hacker.com.cn_MUTEX


Anti Debugging
Es wird überprüft ob folgendes Programm aktiv ist:
   • SoftIce


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PEPack

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 21. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 19. Oktober 2006

zurück . . . .