Nombre:BDS/Rukap.BQ
Descubierto:13/12/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:82.432 Bytes
Suma de control MD5:ad2b75dfc3df41f89a6c100f0e2b7a05
Versión del VDF:6.35.01.100
Versión del IVDF:6.35.01.101

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-CZY
   •  Kaspersky: Backdoor.Win32.Rukap.bq
   •  Grisoft: BackDoor.Generic3.HPB
   •  Eset: Win32/Rukap.BQ
   •  Bitdefender: Backdoor.Rukap.BQ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%directorio donde se ejecuta el programa viral%/%ficheros ejecutados%"
     "DisplayName"="DirectX Service"
     "ObjectName"="LocalSystem"
     "Description"="Improve the performance of games and multimedia programs"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\DirectRomp]
   • "luko"="%serie de caracteres aleatorios%"

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%/%ficheros ejecutados% en el puerto TCP 2773 para funcionar como servidor proxy Socks 5,


Servidor contactado:
Las siguientes:
   • http://www.ruspromotion.net/site/**********
   • http://www.clicking2rewards.com/**********
   • http://www.stormpay.com/**********
   • http://www.megacashclicks.net/**********

Una vez contectado, extraerá una lista suplementaria.

 Informaciones diversas Técnicas anti-debugging
Verifica la presencia del siguiente fichero:
   • SoftIce


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PESpin

Descripción insertada por Monica Ghitun el miércoles 13 de diciembre de 2006
Descripción actualizada por Monica Ghitun el jueves 21 de diciembre de 2006

Volver . . . .