BDS/Beast202.1 - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Beast202.1
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	54.100 Bytes
MD5 Prüfsumme:	55ff7e888a996e7eac6416041f4d1e7e

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: BackDoor-AMQ
   • Kaspersky: Backdoor.Win32.Beastdoor.aq
   • F-Secure: W32/Beastdoor.AJ
   • Grisoft: BackDoor.Beastdoor.FG
   • Bitdefender: GenPack:Backdoor.Beastdoor.2.0.2.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\ñsrss.exe
   • %SYSDIR%\mspjgq.com
   • %WINDIR%\msagent\msytdn.com

Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\pjgq.blf

Registry Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {42AC0312-EE51-A3CC-EA32-40AA12E6115C}]
   • "StubPath"="%SYSDIR%\mspjgq.com"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   • "ITBarLayout"=%Hex Werte%

Folgende Registryschlüssel werden geändert:

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKCU\Software\Microsoft\RAS Autodial\Control]
   Alter Wert:
   • "LoginSessionDisable"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "LoginSessionDisable"=dword:00000001

Hintertür Der folgende Port wird geöffnet:

– %SYSDIR%\ñsrss.exe am TCP Port 6666 um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • cdwar.hut1.ru/cgi-bin/baza/user/add/admin/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.

Sende Informationen über:
    • Speichern der Bildschirmanzeige
    • Aktueller Benutzer
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port

Möglichkeiten der Fernkontrolle:
    • System neu starten
    • System herunterfahren

DoS Direkt nachdem die Malware gestartet wurde werden DoS Attacken gegen folgende Ziele gestartet:
• microsoft.com
• nea.fr

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Mon, 06 Feb 2006 11:50 (GMT+1)
Beschreibung geändert von Daniel Constantin am Thu, 09 Feb 2006 13:42 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück