BDS/Cakl.A.1 - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Cakl.A.1
Entdeckt am:	15/04/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	324.096 Bytes
MD5 Prüfsumme:	9b203ebb193ae3a67d1874ed0062ad22
VDF Version:	6.34.00.187

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Backdoor.Win32.Cakl.a
   • TrendMicro: BKDR_CAKL.D
   • Bitdefender: Trojan.PWS.PdPinch.GA

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vms32.exe

Es werden folgende Dateien erstellt:

– %WINDIR%\hkr32.asm Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• %gestohlene Infromation%

– %SYSDIR%\ldapi32.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Cakl.A.2

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

Hintertür Kontaktiert Server:
Den folgenden:
   • verme.serveftp.**********:15963

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Versteckte Passwörter
    • Computername
    • Prozessorgeschwindigkeit
    • CPU Typ
    • Erstellte Protokolldatei
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Registry editieren
    • Datei ausführen

Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• TURKO3

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 03 May 2006 11:27 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Wed, 03 May 2006 16:34 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück