BDS/Wallz - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Wallz
Entdeckt am:	13/10/2005
Art:	Backdoor Server
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	6.686 Bytes
MD5 Prüfsumme:	8b14dcb37bde5c1558a0f29f4d51a23e
VDF Version:	6.30.00.153 - Tue, 03 May 2005 16:09 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Wallz
   • Kaspersky: Backdoor.Win32.Small.fb
   • TrendMicro: BKDR_SMALL.AIH
   • Sophos: Troj/Bdoor-HU
   • Grisoft: IRC/BackDoor.SdBot.185.BE
   • VirusBuster: Backdoor.Small.EU
   • Bitdefender: Backdoor.Small.FB

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\mousehs.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\mousehs.exe"
   • "DisplayName"="Mouse Hardware Sync"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%Hex Werte%
   • "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs\Security]
   • ""Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\mousehs\Enum]
   • "0"="Root\\LEGACY_MOUSEHS\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "restrictanonymous"=dword:00000001

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Alter Wert:
   • "EnableDCOM"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "EnableDCOM"="n"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-011 (LSASS Vulnerability)

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: symantec.loves.the.cock.**********
Port: 18067
Channel: #16
Nickname: 16-%radom hex number%
Passwort: hgianogh

Server: **********.game2max.net
Port: 18067
Channel: #16
Nickname: 16-%radom hex number%
Passwort: hgianogh

– Dieser Schädling hat die Fähigkeit folgende Information zu sammeln und zu übermitteln:
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Iulian Popa am Thu, 20 Oct 2005 16:46 (GMT+1)
Beschreibung geändert von Iulian Popa am Thu, 27 Oct 2005 10:21 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück

BDS/Wallz - Backdoor Server

"Prozess einer Virenabwehr"