¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Agent.adqk
Descubierto:11/02/2009
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:522.240 Bytes
Suma de control MD5:8bb79f893731b93813a09091137908fc
Versión del IVDF:7.01.02.06 - miércoles, 11 de febrero de 2009

 General Métodos de propagación:
   • Autorun feature (es)
   • Red local
   • Messenger


Alias:
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/AutoRun.Agent.JD
   •  Bitdefender: Trojan.Generic.1704532


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\wmiprvse.exe
   • \RECYCLER\%CLSID%\openfiles.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\RECYCLER\%CLSID%\Desktop.ini

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMIMGIN]
   • "Description"="Provides control and info about management."
   • "DisplayName"="WMI Management App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,53,00,65,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmiprvse.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger

 Infección en la red Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: sec.re**********.info
Puerto: 8085
Contraseña del servidor: 3v1l$
Canal: #sploit
Apodo: [00|USA|XP|%número%]


– Además puede efectuar las siguientes operaciones:
    • Ejecutar fichero
    • Realizar un análisis de la red
    • Apagar sistema
    • Se actualiza solo

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– explorer.exe en el puerto TCP 33097 para funcionar como servidor HTTP.

 Informaciones diversas Técnicas anti-debugging
Verifica la presencia de uno de los siguientes ficheros:
   • \\.\SICE
   • \\.\NTICE


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves, 25 de febrero de 2010
Descripción actualizada por Petre Galan el viernes, 26 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.