BDS/Ginwui.A.4 - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Ginwui.A.4
Descubierto:	22/05/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	73.245 Bytes
Suma de control MD5:	6d69ab10c2e8194465ab25cbfb96dae6
Versión del VDF:	6.34.01.120

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Backdoor.Ginwui.B
   • Mcafee: BackDoor-CKB
   • Kaspersky: Backdoor.Win32.Ginwui.a
   • TrendMicro: BKDR_GINWUI.B
   • Bitdefender: Backdoor.Ginwui.B

Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP

Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %TEMPDIR%\20060426.bak

Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– %SYSDIR%\zsydll.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Ginwui.A.DLL

– %SYSDIR%\zsyhide.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Ginwui.A

Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0

Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
• http://scfzf.xi**********

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\zsydll.dll

Nombre del proceso:
• iexplore.exe

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 22 May 2006 17:37 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 22 May 2006 18:05 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver