BDS/Rukap.BQ - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Rukap.BQ
Entdeckt am:	13/12/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	82.432 Bytes
MD5 Prüfsumme:	ad2b75dfc3df41f89a6c100f0e2b7a05
VDF Version:	6.35.01.100 - Wed, 16 Aug 2006 09:57 (GMT+1)
IVDF Version:	6.35.01.101

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: BackDoor-CZY
   • Kaspersky: Backdoor.Win32.Rukap.bq
   • Grisoft: BackDoor.Generic3.HPB
   • Eset: Win32/Rukap.BQ
   • Bitdefender: Backdoor.Rukap.BQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%Verzeichnis in dem die Malware ausgeführt wurde%/%ausgeführte Datei%"
     "DisplayName"="DirectX Service"
     "ObjectName"="LocalSystem"
     "Description"="Improve the performance of games and multimedia programs"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\DirectRomp]
   • "luko"="%zufällige Buchstabenkombination%"

Hintertür Der folgende Port wird geöffnet:

– %Verzeichnis in dem die Malware ausgeführt wurde%/%ausgeführte Datei% am TCP Port 2773 um einen Socks5 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://www.ruspromotion.net/site/**********
   • http://www.clicking2rewards.com/**********
   • http://www.stormpay.com/**********
   • http://www.megacashclicks.net/**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.

Diverses Anti Debugging
Es wird überprüft ob die folgende Datei vorhanden ist:
• SoftIce

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PESpin

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Wed, 13 Dec 2006 15:25 (GMT+1)
Beschreibung geändert von Monica Ghitun am Thu, 21 Dec 2006 15:11 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück