Descripción completa

Nombre:	BDS/Verify.K.1
Descubierto:	06/03/2005
Tipo:	Servidor Backdoor
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	32.256 Bytes
Suma de control MD5:	e7d155c42fe5e7d13f92e533436c5bda
Versión del VDF:	6.30.00.225

General Método de propagación:
   • Peer to Peer

Alias:
   • Symantec: Backdoor.Verify
   • Mcafee: BackDoor-CNQ
   • Kaspersky: Backdoor.Win32.Verify.k
   • TrendMicro: BKDR_VERIFY.E
   • F-Secure: BACKDOOR PROGRAM
   • Grisoft: BackDoor.Small.43.J
   • Bitdefender: Backdoor.Verify.K

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %raíz de la partición del sistema%\MsBootMgr.exe

Renombra los siguientes ficheros:

    • ntldr en loveyou_pTH
    • msdos.sys en loveyou_pTH.sys

Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

– %WINDIR%\smss.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Verify.J.1

– %SYSDIR%\MsIdle32Hook.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Verify.H.2

– %SYSDIR%\MsIdle32loader.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Verify.K

Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\pVF_update.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:

De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • pVF2@pMK.pTH
El destinatario del mensaje es el siguiente:
   • pMK29A@yahoo.com

Asunto:
El siguiente:
   • pVF v2 Report

El cuerpo del mensaje:
El contenido es el mismo del fichero: pMK_kLog.txt

El mensaje de correo se ve así:

Envio de mensajes Servidor MX:
Puede conectarse a uno de los servidores MX:
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   Al tener éxito, crea los siguientes ficheros:
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe

Finalización de los procesos Listado de los procesos finalizados:
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %ficheros ejecutados% en el puerto TCP 1907 para crear un comando remote shell.
– %ficheros ejecutados% en el puerto TCP 1906 para proporcionar capabilidades de backdoor.

Servidor contactado:
El siguiente:
   • ftp://ftp22.websamba.**********

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Variables de ambiente
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero
    • Enviar mensajes de correo
    • Iniciar la captura de pulsaciones de teclado
    • Terminar proceso
    • Cargar fichero en Internet

Robo de informaciones – Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • securit
   • dial
   • credit
   • admin
   • pass
   • ftp
   • mail
   • profile
   • account
   • regist
   • sign
   • log on
   • log in
   • logon
   • login

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• ::. Love_you_pTH .::

Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
• ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Ionut Slaveanu el miércoles 3 de mayo de 2006
Descripción actualizada por Ionut Slaveanu el jueves 4 de mayo de 2006

Volver . . . .