Nume:BDS/Improg.2
Descoperit pe data de:03/01/2006
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:39.423 Bytes
MD5:886f3af525142488e4ad06a812755af5
Versiune VDF:6.29.00.9

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\nerodll.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Backdoor Servere contactate:
Urmatorul:
   • flashflashmx.3322.org

Astfel se obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Un proces inregistrat sub urmatoarea cheie de registru:
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   In cazul esecului operatiunii, malware-ul continua sa ruleze.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Description insérée par Andrei Gherman le mardi 3 janvier 2006
Description mise à jour par Andrei Gherman le lundi 20 février 2006

Retour . . . .