BDS/Agent.nin - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Agent.nin
Entdeckt am:	13/11/2007
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	53248 Bytes
MD5 Prüfsumme:	0a1c9f1cfacb21ebe0ca2e5a4e017f2b
VDF Version:	7.00.00.208
IVDF Version:	7.00.00.216 - Wed, 14 Nov 2007 15:33 (GMT+1)

General Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %SYSDIR\ Mit einem der folgenden Namen:
   • winhelp%zufällige Buchstabenkombination%%Nummer%.exe
   • wincheck%zufällige Buchstabenkombination%%Nummer%.exe
   • system%zufällige Buchstabenkombination%%Nummer%.exe
   • lsas%zufällige Buchstabenkombination%%Nummer%.exe
   • svctoc%zufällige Buchstabenkombination%%Nummer%.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winupdates"="%SYSDIR%\%ausgeführte Datei%.exe"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\%ausgeführte Datei%.exe"="%SYSDIR%\%ausgeführte
      Datei%.exe:*:Enabled:\%ausgeführte Datei%"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows Updates\RM]

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows Updates]
   Neuer Wert:
   • "Name"="%ausgeführte Datei%"
     "CurrentVersion"=dword:00000023
     "Last Update"="%aktuelles Datum% %aktuelle Zeit%"
     "Next Update"="%aktuelles Datum% %aktuelle Zeit%"
     "Id"="%Hexadezimale Zahl%"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Neuer Wert:
   • "FirewallOverride"=dword:00000001
     "AntiVirusOverride"=dword:00000001

Hintertür Der folgende Port wird geöffnet:

– %SYSDIR%\%ausgeführte Datei%.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://87.249.38.126/asg234/**********
   • http://87.249.38.126/asg234/update/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Aktueller Malware Status
    • Geöffneter Port
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• http://www.windowsupdate.microsoft.com

Mutex:
Es wird folgender Mutex erzeugt:
• 68E1D888-19B3-4F40-8941-95EC38E4AF69

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Thu, 15 Nov 2007 16:48 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 28 Nov 2007 13:10 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück