BDS/Nanspy.C - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Nanspy.C
Descubierto:	07/10/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	216.128 Bytes
Suma de control MD5:	9C3D95E9D5C6DB594174C48AF2E3CFC0
Versión del VDF:	6.32.0.67

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Backdoor.Win32.Nanspy.c

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spools.exe

Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\xffq.ssq
   • %SYSDIR%\ddq32.ssq
   • %SYSDIR%\ch1.ssq
   • %SYSDIR%\ch2.ssq
   • %SYSDIR%\ch3.ssq
   • %SYSDIR%\ch4.ssq
   • %SYSDIR%\xiecache.ssq

– %SYSDIR%\xbccd.log Contiene un ID único del ordenador infectado.
– %SYSDIR%\xffq.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\ddq32.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\ch1.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\ch2.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\ch3.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\ch4.ssq En este fichero se registran las pulsaciones de teclado.
– %SYSDIR%\xiecache.ssq En este fichero se registran las pulsaciones de teclado.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Spools Service Controller"="%SYSDIR%\spools.exe"

Elimina del registro de Windows el valor de la siguiente clave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• spools.exe

Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • d-ru-1f.kaspersky-labs.com
   • d-ru-1h.kaspersky-labs.com
   • d-ru-2f.kaspersky-labs.com
   • d-ru-2h.kaspersky-labs.com
   • d-eu-2f.kaspersky-labs.com
   • d-eu-2h.kaspersky-labs.com
   • d-eu-1f.kaspersky-labs.com
   • d-eu-1h.kaspersky-labs.com
   • d-us-1f.kaspersky-labs.com
   • d-us-1h.kaspersky-labs.com
   • downloads1.kaspersky.ru
   • downloads2.kaspersky.ru
   • downloads3.kaspersky.ru
   • downloads4.kaspersky.ru
   • downloads5.kaspersky.ru
   • www.kaspersky.ru
   • kaspersky.ru
   • kaspersky-labs.com
   • www.kaspersky-labs.com

El fichero host modificado se verá así:

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %SYSDIR%\spools.exe en un puerto TCP aleatorio para funcionar como servidor HTTP.
– %SYSDIR%\spools.exe para funcionar como servidor proxy Socks 4,

Servidor contactado:
Uno de los siguientes:
   • http://66.235.160.**********/slogdrx.php
   • http://66.235.160.**********/slogch1.php
   • http://66.235.160.**********/slogch2.php
   • http://66.235.160.**********/slogch3.php
   • http://66.235.160.**********/slogch4.php
   • http://66.235.160.**********/slogcx.php
   • http://66.235.160.**********/logwmgx.php

La siguiente:
   • http://66.235.160.**********/wad/init2.txt

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Ficheros de informe creados
    • Usuario actual
    • Dirección IP
    • Informaciones acerca de los procesos del sistema
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

Capabilidades de control remoto:
    • Delete file (es)
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Ejecutar ataque DDoS
    • Reiniciar sistema
    • Terminar proceso

Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • www.e-gold.com; www.wamu.com; www.bankone.com; www.bankofamerica.com;
      tcfbank.com; adelaidebank.com.au; anz.com.au; cu.net.au; boq.com.au;
      bankwest.com.au; bendigobank.com.au; commbank.com.au; hsbc.com.au;
      ibisworld.com.au; macquarie.com.au; national.com.au; suncorp.com.au;
      stgeorge.com.au; online.westpac.com.au; nationalbank.co.nz;
      rbnz.govt.nz; bnz.co.nz; asbbank.co.nz; westpac.co.nz; kiwibank.co.nz;
      macquarie.com; anz.com; nabgroup.com; bankombudsman.org.nz

– Captura:
    • Información de la ventana
    • Informaciones para iniciar sesión

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 10 Oct 2005 09:47 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 13 Oct 2005 15:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver