BDS/VB.agz - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/VB.agz
Entdeckt am:	24/12/2005
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	30.720 Bytes
MD5 Prüfsumme:	65a87b2a54e20C6a2f2a097f0A45a39c
VDF Version:	6.33.00.63 - Sat, 24 Dec 2005 14:51 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %cookies%\*.txt

Es wird folgende Datei erstellt:

– %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • %übergebener Parameter%/%übergebener Parameter%.dll
Diese wird lokal gespeichert unter: %SYSDIR%%übergebener Parameter%.dll Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • %übergebener Parameter%/smss.exe
Diese wird lokal gespeichert unter: %WINDIR%\smss.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%Name des Computers%-%mehrere zufällige Zahlen von 0 - 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%übergebener Parameter%/"
   • "initWWW4FTPupdate"="%übergebener Parameter%?other"
   • "initWWW4FTPbackup"="%übergebener Parameter%?other"
   • "initWWW4FileRedir"="%übergebener Parameter%"
   • "initMajorVersion"="%übergebener Parameter%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Hintertür Kontaktiert Server:
Den folgenden:
   • %übergebener Parameter%

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Computername
    • Aktueller Benutzer
    • IP Adresse
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 10 Jan 2006 10:15 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 10 Jan 2006 15:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück