Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Dumador.FH
La date de la dcouverte:03/01/2006
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:32.256 Octets
Somme de contrle MD5:9dfe1214b9c871893ba6cdf998e686be
Version VDF:6.33.00.93

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Dumaru.gen@MM
   •  Kaspersky: Backdoor.Win32.Dumador.fh
   •  Bitdefender: Backdoor.Dumaru.G


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier
   • Il cre des fichiers
   • Il cre un fichier malveillant
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winldra.exe



Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %WINDIR%\sendlogs_dat
Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information vole%

%WINDIR%\dvpd.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BDS/Dumador.EO.2

%WINDIR%\prntc.logc Employ pour stocker le texte du clipboard.
%TEMPDIR%\fe43e701.htm
:\windows\netdx.dat Contient un ID unique de l'ordinateur infect.



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://abramovich.biz/stat/socks/bot/**********
Il est sauvegard sur le disque dur local l'emplacement: %WINDIR%\cmdid.dat

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load32" = "%SYSDIR%\winldra.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   AutoComplete]
   • "AutoSuggest" = "yes"
   • "Append Completion" = "yes"

[HKCU\Software\SARS]
   • "SocksPort" = %port ouvert%
   • "mailsended"="1"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "AllowWindowReuse" = dword:00000000



La cl de registre suivante est change:

[HKLM\System\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000003

 Htes Le fichier hte est modifi, comme il est expliqu:

L'accs aux liens URL suivants est effectivement bloqu :
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com




Le fichier hte modifi ressemblera ceci:


 Porte drobe Les ports suivants sont ouverts:

iexplore.exe sur le port TCP 9125 afin de fournir de capacits de porte drobe
iexplore.exe sur le port TCP 11111 afin de fournir de capacits de porte drobe
iexplore.exe sur un port TCP alatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Tous les suivants:
   • http://abramovich.biz/stat/**********
   • http://abramovich.biz/stat/socks/bot/**********

En consquence il peut envoyer de l'information et fournir d'accs distance. Ceci est fait par l'intermdiaire des mthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
     Capture d'cran
     Cre de fichiers de journalisation.
     Le statut courant du malware
     Port ouvert
     L'ID de la plateforme
     Les informations rassembles, dcrites dans la section


Capacits d'accs distance:
     Tlcharger un fichier
     Excuter un fichier
     Ouvrir une ligne de commande distance
     Commence le keylog
     Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe employs par la fonction AutoComplete
 Des informations sur le compte d'email, obtenues de la cl de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Les mots de passe des programmes suivants:
   • The Bat
   • Far
   • Total Commander
   • Webmoney
   • Microsoft Outlook

Une routine de journalisation est commenc aprs qu'un site web soit visit.
   • %tout site web qui contient une formulaire d'identification%
     Frappes de touche
     Fentre d'information
     Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: dvpd.dll

    Nom du processus:
   • iexplore.exe


 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Daniel Constantin le jeudi 5 janvier 2006
Description mise à jour par Andrei Gherman le lundi 30 janvier 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.