BDS/Nanspy.C - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Nanspy.C
Entdeckt am:	07/10/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	216.128 Bytes
MD5 Prüfsumme:	9C3D95E9D5C6DB594174C48AF2E3CFC0
VDF Version:	6.32.0.67

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Backdoor.Win32.Nanspy.c

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\spools.exe

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\xffq.ssq
   • %SYSDIR%\ddq32.ssq
   • %SYSDIR%\ch1.ssq
   • %SYSDIR%\ch2.ssq
   • %SYSDIR%\ch3.ssq
   • %SYSDIR%\ch4.ssq
   • %SYSDIR%\xiecache.ssq

– %SYSDIR%\xbccd.log Enthält eine eindeutige Identifikationsnummer des infizierten Computers.
– %SYSDIR%\xffq.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\ddq32.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\ch1.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\ch2.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\ch3.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\ch4.ssq Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\xiecache.ssq Diese Datei enthält gesammelte Tastatureingaben.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Spools Service Controller"="%SYSDIR%\spools.exe"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• spools.exe

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
   • d-ru-1f.kaspersky-labs.com
   • d-ru-1h.kaspersky-labs.com
   • d-ru-2f.kaspersky-labs.com
   • d-ru-2h.kaspersky-labs.com
   • d-eu-2f.kaspersky-labs.com
   • d-eu-2h.kaspersky-labs.com
   • d-eu-1f.kaspersky-labs.com
   • d-eu-1h.kaspersky-labs.com
   • d-us-1f.kaspersky-labs.com
   • d-us-1h.kaspersky-labs.com
   • downloads1.kaspersky.ru
   • downloads2.kaspersky.ru
   • downloads3.kaspersky.ru
   • downloads4.kaspersky.ru
   • downloads5.kaspersky.ru
   • www.kaspersky.ru
   • kaspersky.ru
   • kaspersky-labs.com
   • www.kaspersky-labs.com

Die modifizierte Host Datei sieht wie folgt aus:

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\spools.exe an einem zufälligen TCP port um einen HTTP Server zur Verfügung zu stellen.
– %SYSDIR%\spools.exe um einen Socks4 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Einer der folgenden:
   • http://66.235.160.**********/slogdrx.php
   • http://66.235.160.**********/slogch1.php
   • http://66.235.160.**********/slogch2.php
   • http://66.235.160.**********/slogch3.php
   • http://66.235.160.**********/slogch4.php
   • http://66.235.160.**********/slogcx.php
   • http://66.235.160.**********/logwmgx.php

Den folgenden:
   • http://66.235.160.**********/wad/init2.txt

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Computername
    • Erstellte Protokolldatei
    • Aktueller Benutzer
    • IP Adresse
    • Informationen über laufende Prozesse
    • Benutzername
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei löschen
    • Datei herunterladen
    • Datei ausführen
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • System neu starten
    • Prozess beenden

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • www.e-gold.com; www.wamu.com; www.bankone.com; www.bankofamerica.com;
      tcfbank.com; adelaidebank.com.au; anz.com.au; cu.net.au; boq.com.au;
      bankwest.com.au; bendigobank.com.au; commbank.com.au; hsbc.com.au;
      ibisworld.com.au; macquarie.com.au; national.com.au; suncorp.com.au;
      stgeorge.com.au; online.westpac.com.au; nationalbank.co.nz;
      rbnz.govt.nz; bnz.co.nz; asbbank.co.nz; westpac.co.nz; kiwibank.co.nz;
      macquarie.com; anz.com; nabgroup.com; bankombudsman.org.nz

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Mon, 10 Oct 2005 09:47 (GMT+1)
Beschreibung geändert von Andrei Gherman am Thu, 13 Oct 2005 15:10 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück