Nom:BDS/Improg.2
La date de la découverte:03/01/2006
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:39.423 Octets
Somme de contrôle MD5:886f3af525142488e4ad06a812755af5
Version VDF:6.29.00.9

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\nerodll.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Porte dérobée Serveur de contact:
Le suivant:
   • flashflashmx.3322.org

En conséquence la possibilité de contrôle à distance est fournie.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Un procès qui est enregistré sur la clef d’enregistrement suivant : / Des procès lesquelles sont enregistrés sur les clefs d´enregistrement suivantes :
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   Si le malware échoue, il continuera de fonctionner comme processus.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le mardi 3 janvier 2006
Description mise à jour par Andrei Gherman le lundi 20 février 2006

Retour . . . .