English
Deutsch
Francais
Español
Italian
Home
Vireninfos
BDS/Agent.adp
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
BDS/Agent.adp - Backdoor Server
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
BDS/Agent.adp
Entdeckt am:
13/07/2006
Art:
Backdoor Server
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
219.136 Bytes
MD5 Prüfsumme:
79aef21823c08561a08660df43d5f079
VDF Version:
6.35.00.158
- Thu, 13 Jul 2006 07:42 (GMT+1)
IVDF Version:
6.35.00.197
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Kaspersky: Backdoor.Win32.Agent.adp
• TrendMicro: WORM_SPYBOT.GE
• VirusBuster: Worm.RBot.FKC
• Bitdefender: Backdoor.Agent.SP
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%SYSDIR%
\
%siebenstellige zufällige Buchstabenkombination%
.exe
Die anfänglich ausgeführte Kopie der Malware wird gelöscht.
Es wird folgende Datei erstellt:
–
%SYSDIR%
\SVKP.sys
Registry
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Msnupgred"="
%siebenstellige zufällige Buchstabenkombination%
.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "Msnupgred"="
%siebenstellige zufällige Buchstabenkombination%
.exe"
Folgender Registryschlüssel wird hinzugefügt:
– HKCU\Software\Microsoft\OLE
• "Msnupgred"="
%siebenstellige zufällige Buchstabenkombination%
.exe"
Infektion über das Netzwerk
Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
–
MS04-007
(ASN.1 Vulnerability)
Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.
IRC
Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:
Server: un.ms6ol.**********
Port: 7000
Channel: #WE
Nickname: USA|
%Nummer%
Passwort: we...
– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
• Versteckte Passwörter
• Speichern der Bildschirmanzeige
• Speichern von Bildern der Webcam
• Prozessorgeschwindigkeit
• Freier Festplattenplatz
• Freier Hauptspeicher
• Informationen über das Netzwerk
• Informationen über laufende Prozesse
• Größe des Speichers
• Information über das Windows Betriebsystem
– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• DCOM deaktivieren
• Gesharte Netzlaufwerke deaktivieren
• Datei herunterladen
• DCOM aktivieren
• Datei ausführen
• IRC Chatraum betreten
• IRC Chatraum verlassen
• Öffnen einer remote shell
• Scannen des Netzwerks
• Port Weiterleitung durchführen
• System neu starten
• Emails verschicken
• Prozess beenden
• Aktualisiert sich selbst
• Datei Hinaufladen
• Besuch einer Webseite
Diebstahl
Es wird versucht folgende Information zu klauen:
– Folgende CD keys:
• Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
(Secret Weapons of WWII); Battlefield Vietnam; Black and White;
Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
(Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
- Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
2003; Unreal Tournament 2004
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Kurzfassung
hier
.
Beschreibung erstellt von Ionut Slaveanu am Thu, 07 Sep 2006 10:37 (GMT+1)
Beschreibung geändert von Ionut Slaveanu am Fri, 22 Sep 2006 16:46 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos BDS/Agent.adp
Diese Seite drucken
.gif)
