BDS/Virkel.A - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Virkel.A
Entdeckt am:	28/10/2005
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	104.960 Bytes
MD5 Prüfsumme:	87768eb9f0beaaac91be85d82e010B95
VDF Version:	6.32.00.117 - Wed, 26 Oct 2005 12:12 (GMT+1)

General Verbreitungsmethode:
   • Messenger

Aliases:
   • Symantec: W32.Chod.D
   • Kaspersky: Backdoor.Win32.Virkel.a
   • Bitdefender: Backdoor.Chodebot.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%\csrss.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\%zufällige Buchstabenkombination%\smss.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Datei dient als Flag für eine interne Routine.
– %SYSDIR%\%zufällige Buchstabenkombination%\csrss.ini Enthält von der Malware genutzte Parameter.
– %SYSDIR%\netstat.com Diese Datei dient als Flag für eine interne Routine.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "csrss"=""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%SYSDIR%\%zufällige Buchstabenkombination%\csrss.exe"
   • "run=%SYSDIR%\%zufällige Buchstabenkombination%\csrss.exe"

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CleanUp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VirusScan Online]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VSOCheckTask]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCUpdateExe]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Outpost Firewall]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gcasServ]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pccguide.exe]

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"="1"
   • "NoAdminPage"="1"

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– MSN Messenger

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: bak.**********.net
Port: 37737
Channel: #.upd
Nickname: %zehnstellige zufällige Buchstabenkombination%

Server: pjn.**********.net
Port: 37737
Channel: #.upd
Nickname: %zehnstellige zufällige Buchstabenkombination%

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Speichern der Bildschirmanzeige
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Details über Treiber
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Plattform ID
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • Registrieren eines Service
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • avp.com; www.avp.com; ca.com; dispatch.mcafee.com;
      download.mcafee.com; f-secure.com; fastclick.net; ftp.f-secure.com;
      ftp.sophos.com; liveupdate.symantec.com; customer.symantec.com;
      pccguide.exe rads.mcafee.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; nai.com; networkassociates.com; secure.nai.com;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      support.microsoft.com; symantec.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; vil.nai.com; viruslist.com;
      www.viruslist.com; www.awaps.net; www.ca.com; www.f-secure.com;
      www.fastclick.net; www.mcafee.com; www.microsoft.com;
      www.my-etrust.com; www.nai.com; www.networkassociates.com;
      www.sophos.com; www.symantec.com; www3.ca.com; www.grisoft.com;
      grisoft.com; housecall.trendmicro.com; trendmicro.com;
      www.trendmicro.com; www.pandasoftware.com; pandasoftware.com;
      kaspersky.com; www.kaspersky.com; www.zonelabs.com; zonelabs.com;
      www.spywareinfo.com; spywareinfo.com; www.merijn.org; merijn.org

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • mpftray.exe; microsoft antispyware*; hijackthis*; msconfig.exe;
      kav.exe; kavsvc.exe; mcvsshld.exe; mcagent.exe; mcvsrte.exe;
      mcshield.exe; mcvsftsn.exe; mcdash.exe; mcvsescn.exe; mcinfo.exe;
      mpfagent.exe; CIzh_DataArrival; mpfservice.exe; mskagent.exe;
      mcmnhdlr.exe; sndsrvc.exe; usrprmpt.exe; ccapp.exe; ccevtmgr.exe;
      spbbcsvc.exe; ccsetmgr.exe; symlcsvc.exe; npfmntor.exe; navapsvc.exe;
      issvc.exe; ccproxy.exe; tmpfw.exe; navapw32.exe; navw32.exe; smc.exe;
      outpost.exe; zlclient.exe; vsmon.exe; isafe.exe; pandaavengine.exe;
      regedit.exe; hijackthis.exe; gcasdtserv.exe; gcasserv.exe;
      pcctlcom.exe; tmntsrv.exe; tmproxy.exe; pcclient.exe; ethereal.exe;
      wpe pro.exe; nat.exe; winsp3.exe; zonealarm.exe; zlclient.exe;
      vsmon.exe; mcupdmgr.exe; pccguide.exe; scrpres.dll; mcvsscrp.dll;
      vsmonapi.dll

Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • KAVPersonal50; Zone Labs Client; Symantec Core LC; services;
      OutpostFirewall; Tmntsrv; tmproxy; TmPfw; PcCtlCom; CAISafe; vsmon;
      SBService; SAVScan; SPBBCSvc; ccSetMgr; ccPwdSvc; ccProxy; SNDSrvc;
      ccEvtMgr; navapsvc; ISSVC; GuardDogEXE; MpfService; MCVSRte; McShield;
      kavsvc

Liste der Dienste die beendet werden:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • System Restore Service
   • Microsoft AntiSpyware Server Process
   • System Restore Service
   • Windows Security Center Service

Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • dynupdate.**********.info
   • bak.**********.info

Mutex:
Es wird folgender Mutex erzeugt:
   • ChodeBot 8=D

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Compact 2.X

Kurzfassung hier.

Beschreibung erstellt von Catalin Jora am Fri, 28 Oct 2005 10:44 (GMT+1)
Beschreibung geändert von Catalin Jora am Wed, 02 Nov 2005 11:45 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück