Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Dumador.FH
La date de la découverte:03/01/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:32.256 Octets
Somme de contrôle MD5:9dfe1214b9c871893ba6cdf998e686be
Version VDF:6.33.00.93

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Dumaru.gen@MM
   •  Kaspersky: Backdoor.Win32.Dumador.fh
   •  Bitdefender: Backdoor.Dumaru.G


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winldra.exe



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %WINDIR%\sendlogs_dat
Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

%WINDIR%\dvpd.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Dumador.EO.2

%WINDIR%\prntc.logc Employé pour stocker le texte du clipboard.
%TEMPDIR%\fe43e701.htm
– :\windows\netdx.dat Contient un ID unique de l'ordinateur infecté.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://abramovich.biz/stat/socks/bot/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\cmdid.dat

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load32" = "%SYSDIR%\winldra.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   AutoComplete]
   • "AutoSuggest" = "yes"
   • "Append Completion" = "yes"

– [HKCU\Software\SARS]
   • "SocksPort" = %port ouvert%
   • "mailsended"="1"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "AllowWindowReuse" = dword:00000000



La clé de registre suivante est changée:

– [HKLM\System\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000003

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Les ports suivants sont ouverts:

– iexplore.exe sur le port TCP 9125 afin de fournir de capacités de porte dérobée
– iexplore.exe sur le port TCP 11111 afin de fournir de capacités de porte dérobée
– iexplore.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Tous les suivants:
   • http://abramovich.biz/stat/**********
   • http://abramovich.biz/stat/socks/bot/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Capture d'écran
    • Crée de fichiers de journalisation.
    • Le statut courant du malware
    • Port ouvert
    • L'ID de la plateforme
    • Les informations rassemblées, décrites dans la section


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Ouvrir une ligne de commande à distance
    • Commence le keylog
    • Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • The Bat
   • Far
   • Total Commander
   • Webmoney
   • Microsoft Outlook

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%
    • Frappes de touche
    • Fenêtre d'information
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: dvpd.dll

    Nom du processus:
   • iexplore.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Daniel Constantin le jeudi 5 janvier 2006
Description mise à jour par Andrei Gherman le lundi 30 janvier 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.