Nume:BDS/VB.ebc
Descoperit pe data de:13/06/2008
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:52.224 Bytes
MD5:0f6a0b74b7c3d1d5d5d8efa063e181c8
Versiune IVDF:7.00.04.187 - Freitag, 13. Juni 2008

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Vbbot
   •  Sophos: W32/AutoRun-FD
   •  Panda: W32/SdBot.LXF
   •  Eset: Win32/AutoRun.PU
   •  Bitdefender: Trojan.Vb.Autorun.AA


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\lsass.exe
   • %unitate disc%\Start.exe



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "LSA Shellu"="%HOME%\lsass.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\VB and VBA Program Settings\rn1\r]
   • "r"="r"

 Backdoor Deschide portul

– svchost.exe pe portul TCP 5000 pentru a oferi functionalitate de backdoor.

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 11. März 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 12. März 2010

zurück . . . .