BDS/VB.agz - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/VB.agz
Descubierto:	24/12/2005
Tipo:	Servidor Backdoor
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	30.720 Bytes
Suma de control MD5:	65a87b2a54e20C6a2f2a097f0A45a39c
Versión del VDF:	6.33.00.63

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero
   • Modificaciones en el registro

Ficheros Elimina la copia inicial del virus.

Elimina el siguiente fichero:
   • %cookies%\*.txt

Crea el siguiente fichero:

– %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • %parámetro introducido%/%parámetro introducido%.dll
El fichero está guardado en el disco duro en: %SYSDIR%%parámetro introducido%.dll Además, este fichero es ejecutado después de haber sido descargago.

– La dirección es la siguiente:
   • %parámetro introducido%/smss.exe
El fichero está guardado en el disco duro en: %WINDIR%\smss.exe Además, este fichero es ejecutado después de haber sido descargago.

Registro Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%nombre del ordenador%-%varios números aleatorios entre 0 - 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%parámetro introducido%/"
   • "initWWW4FTPupdate"="%parámetro introducido%?other"
   • "initWWW4FTPbackup"="%parámetro introducido%?other"
   • "initWWW4FileRedir"="%parámetro introducido%"
   • "initMajorVersion"="%parámetro introducido%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • %parámetro introducido%

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Usuario actual
    • Dirección IP
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Descargar fichero
    • Visitar un sitio web

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Tue, 10 Jan 2006 10:15 (GMT+1)
Descripción actualizada por Daniel Constantin el Tue, 10 Jan 2006 15:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver