Nombre:BDS/PcClient.JG
Descubierto:25/12/2005
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:46.439 Bytes
Suma de control MD5:831b22781ea5f2683cf8468f489065c0
Versión del VDF:6.33.00.64

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Bitdefender: Backdoor.PcClient.HP


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\mesqrilw.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/PcClient.hp.1.B

%SYSDIR%\mesqrilw.drv Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/PcClient.kf.1

%SYSDIR%\drivers\mesqrilw.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/PcClient.hp.1.C

%SYSDIR%\mesqrilw.log En este fichero se registran las pulsaciones de teclado.



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   Valor anterior:
   • ServiceDll = %SYSDIR%\sens.dll
   Nuevo valor:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://dynsev5299.2mydns.com/**********

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\mesqrilw.dll

    Nombre del proceso:
   • iexplorer.exe



–  Inyecta el siguiente fichero en un proceso: %SYSDIR%\mesqrilw.drv

    Nombre del proceso:
   • iexplorer.exe


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios ficheros
– Su propio proceso
– Sus propias claves del registro

– Ficheros que contienen la siguiente subcadena en su nombre del fichero:
   • mesqrilw.


Método empleado:
    • Oculto en Windows API

Engancha las siguientes funciones API:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el viernes 21 de abril de 2006
Descripción actualizada por Andrei Gherman el viernes 21 de abril de 2006

Volver . . . .