Nom:BDS/Bandok.R.2
La date de la découverte:20/12/2005
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:20.480 Octets
Somme de contrôle MD5:4A69364DF3EA6AF14FCEAFA910C2502B
Version VDF:6.33.00.25

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Kaspersky: Backdoor.Win32.Bandok.r


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msnmsgr.exe



Il supprime le fichier suivant:
   • c:\ali.html

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "*none"="%SYSDIR%\msnmsgr.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "bndkrt"="1648|msnmsgr.exe|none|1930|x|"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C6AB07ND-ADF3-4F02-0EE5-A156BTF-8AZ9}]
   • "StubPath"="%SYSDIR%\msnmsgr.exe"

 Porte dérobée Serveur de contact:
Le suivant:
   • **********.servemp3.com

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Information sur des processus courants


Capacités d'accès à distance:
    • Supprime le fichier
    • Listage dossier
    • Télécharger un fichier
    • Edition fichier
    • Exécuter un fichier
    • Finir le processus
    • Opérer la redirection d'un certain port
    • Commence le keylog
    • Charger un fichier
    • Visiter un site web

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • iexplore.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • bandook13

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le mardi 20 décembre 2005
Description mise à jour par Andrei Gherman le mardi 20 décembre 2005

Retour . . . .