Nume:BDS/GrayBird.LE
Descoperit pe data de:21/09/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:384.835 Bytes
MD5:aba8e6611ab80E5d747b32464674faf6
Versiune VDF:6.35.01.115
Versiune IVDF:6.35.01.116 - Monday, August 21, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-ARR trojan
   •  Kaspersky: Backdoor.Win32.GrayBird.le
   •  Sophos: Troj/Bckdr-OXB
   •  Bitdefender: Backdoor.Graybird.FN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Hacker.com.cn.ini



Sterge copia initiala a virusului.



Este creat fisierul:

– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.bfliao.27h.com/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista ]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.ini"
   • "DisplayName"="Windows XP Vista "
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows XP Vista \
   Enum]
   • "0"="Root\LEGACY_WINDOWS_XP_VISTA________\0000"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_WINDOWS_XP_VISTA________\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows XP Vista "

 Backdoor Deschide portul

– %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE pe portul TCP 8080 pentru a functiona ca server HTTP.

Posibilitati de control la distanta:
    • dezactivarea partajarii de resurse in retea
    • activarea partajarii de resurse in retea
    • executarea unui fisier

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • Hacker.com.cn_MUTEX


Metode anti-debugging
Verifica daca ruleaza urmatorul program:
   • SoftIce


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PEPack

Description inserted by Monica Ghitun on Thursday, September 21, 2006
Description updated by Andrei Ivanes on Thursday, October 19, 2006

Back . . . .