Descripción completa

Nombre:	BDS/Agent.ahj.701
Descubierto:	28/06/2007
Tipo:	Servidor Backdoor
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	20.847 Bytes
Suma de control MD5:	571f05c12e0d7489cc10fffab06ccfbd
Versión del VDF:	6.39.00.125
Versión del IVDF:	6.39.00.127 - martes 10 de julio de 2007

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Backdoor.Win32.Agent.ahj
   • F-Secure: Backdoor.Win32.Agent.ahj
   • Grisoft: Agent.BTX

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.EXE

Crea los siguientes ficheros:

– %SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.DLL Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.14420

– %SYSDIR%\delmep.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Services\
   %serie de caracteres aleatorios de ocho dígitos%]
   • DisplayName="%serie de caracteres aleatorios de ocho dígitos%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios de ocho dígitos%]
   • Description="%serie de caracteres aleatorios de ocho dígitos%"
   • DisplayName="%serie de caracteres aleatorios de ocho dígitos%"
   • ImagePath="%SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.EXE -d"
   • ObjectName="LocalSystem"

Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://down.hunll.com/popwin/**********

De esta forma obtiene el control remoto. La respuesta del servidor queda escrita en el fichero: %SYSDIR%\usdsddse.web

Capabilidades de control remoto:
    • Descargar fichero
    • Visitar un sitio web

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %serie de caracteres aleatorios de ocho dígitos%.dll

    Uno de los siguientes procesos:
   • explorer.exe
   • winlogon.exe

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Ernest Szocs el lunes 2 de julio de 2007
Descripción actualizada por Andrei Gherman el lunes 16 de julio de 2007

Volver . . . .