¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Agent.adqk
Descubierto:11/02/2009
Tipo:Servidor Backdoor
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:522.240 Bytes
Suma de control MD5:8bb79f893731b93813a09091137908fc
Versin del IVDF:7.01.02.06 - miércoles 11 de febrero de 2009

 General Mtodos de propagacin:
    Autorun feature (es)
   • Red local
    Messenger


Alias:
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/AutoRun.Agent.JD
   •  Bitdefender: Trojan.Generic.1704532


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\wmiprvse.exe
   • \RECYCLER\%CLSID%\openfiles.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\RECYCLER\%CLSID%\Desktop.ini

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\WMIMGIN]
   • "Description"="Provides control and info about management."
   • "DisplayName"="WMI Management App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,53,00,65,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmiprvse.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\CurrentControlSet\Control]
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 AIM Messenger
 MSN Messenger

 Infeccin en la red Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: sec.re**********.info
Puerto: 8085
Contrasea del servidor: 3v1l$
Canal: #sploit
Apodo: [00|USA|XP|%nmero%]


 Adems puede efectuar las siguientes operaciones:
    • Ejecutar fichero
     Realizar un anlisis de la red
    • Apagar sistema
     Se actualiza solo

 Backdoor (Puerta trasera) Abre el siguiente puerto:

explorer.exe en el puerto TCP 33097 para funcionar como servidor HTTP.

 Informaciones diversas Tcnicas anti-debugging
Verifica la presencia de uno de los siguientes ficheros:
   • \\.\SICE
   • \\.\NTICE


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el jueves 25 de febrero de 2010
Descripción actualizada por Petre Galan el viernes 26 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.