Nume:BDS/Frauder.bu
Descoperit pe data de:29/08/2008
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:~203.776 Bytes
Versiune IVDF:7.00.06.89 - Freitag, 29. August 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.Blusod
   •  Mcafee: Downloader-ASH.gen.b trojan
   •  Kaspersky: Backdoor.Win32.Frauder.bu
   •  F-Secure: Backdoor.Win32.Frauder.bu
   •  Sophos: Mal/EncPk-EU
   •  Panda: Adware/RogueAntimalware2008
   •  Grisoft: Downloader.FraudLoad.N
   •  Eset: a variant of Win32/Kryptik.E trojan
   •  Bitdefender: Trojan.FakeAlert.ACR


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri


Afiseaza continutul fisierului imagine creat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\lphc1boj0e39c.exe



Sunt create fisierele:

– %TEMPDIR%\.tt1.tmp.vbs Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Agent.1002

– %SYSDIR%\blphc1boj0e39c.scr Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: JOKE/BlueScreen.B

– %SYSDIR%\phc1boj0e39c.bmp Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Fakealert.AAF




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://stat.antivirusxp-2008.net/**********/common/16.gif
Fisierul este stocat pe hard disc la: C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt4.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Fisierul contine cod malware.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lphc1boj0e39c"="%SYSDIR%\lphc1boj0e39c.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "NoDispBackgroundPage"=dword:00000001
   • "NoDispScrSavPage"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Software Notifier]
   • "InstallID"="858948ee-a000-4255-86f8-9e3baeb448b6"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Control Panel\Colors]
   Noua valoare:
   • "Background"="0 0 255"

– [HKCU\Control Panel\Desktop]
   Noua valoare:
   • "WallpaperStyle"="0"
     "TileWallpaper"="0"
     "Wallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "OriginalWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "ConvertedWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "SCRNSAVE.EXE"="%SYSDIR%\blphc1boj0e39c.scr"
     "ScreenSaveActive"="1"
     "ScreenSaveTimeOut"="600"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Freitag, 5. September 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Freitag, 5. September 2008

zurück . . . .