Nombre:BDS/HacDef.FV.1.A
Descubierto:27/07/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:88.576 Bytes
Suma de control MD5:f2c34a56a33ee7a22e77a217f5c9e92b
Versión del VDF:6.35.01.08
Versión del IVDF:6.35.01.08

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-DIZ
   •  Kaspersky: Backdoor.Win32.HacDef.fw
   •  F-Secure: Backdoor.Win32.HacDef.fw
   •  Sophos: Troj/HacDef-DJ
   •  Bitdefender: Backdoor.Hacdef.AG


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%valores hex%



Modifica la siguiente clave del registro:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valor anterior:
   • "(default)"=dword:0000000d
   Nuevo valor:
   • "(default)"=dword:0000000e

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • 135363240

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Teodor Onisor el lunes 2 de octubre de 2006
Descripción actualizada por Teodor Onisor el lunes 2 de octubre de 2006

Volver . . . .