BDS/Cakl.A.1 - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Cakl.A.1
Descubierto:	15/04/2006
Tipo:	Servidor Backdoor
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	324.096 Bytes
Suma de control MD5:	9b203ebb193ae3a67d1874ed0062ad22
Versión del VDF:	6.34.00.187

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Backdoor.Win32.Cakl.a
   • TrendMicro: BKDR_CAKL.D
   • Bitdefender: Trojan.PWS.PdPinch.GA

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\vms32.exe

Crea los siguientes ficheros:

– %WINDIR%\hkr32.asm Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• %informaciones robadas%

– %SYSDIR%\ldapi32.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Cakl.A.2

Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

Añade las siguientes claves al registro:

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • verme.serveftp.**********:15963

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Contraseñas guardadas
    • Nombre del ordenador
    • Velocidad del procesador
    • Tipo del procesador
    • Ficheros de informe creados
    • Las informaciones recolectadas, descritas en la sección
    • Informaciones acerca del sistema operativo Windows

Capabilidades de control remoto:
    • Editar el registro del sistema
    • Ejecutar fichero

Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• TURKO3

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Oculta las siguientes:
– Sus propios ficheros
– Su propio proceso

Método empleado:
• Oculto en Windows API

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Wed, 03 May 2006 11:27 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Wed, 03 May 2006 16:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver