Description complète

Nom:	BDS/BO.plugin.IO.A
La date de la découverte:	10/04/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	102.400 Octets
Somme de contrôle MD5:	a46b693e7f5e9acc926fc8a623f34859
Version VDF:	6.34.00.168

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Backdoor.Win32.BO.plugin.IO.a
   • Bitdefender: Backdoor.BO.Plugin.IO.A

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • cldwatch = %le dossier d'exécution du malware%\%le fichier exécuté%

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Remote Control]
   • Type = dword:00000110
   • Start = dword:00000002
   • ErrorControl = dword:00000000
   • ImagePath = %le dossier d'exécution du malware%\%le fichier exécuté%
   • DisplayName = Remote Control
   • ObjectName = LocalSystem

– [HKLM\SYSTEM\CurrentControlSet\Services\Remote Control\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\Remote Control\Enum]
   • 0 = Root\\LEGACY_REMOTE_CONTROL\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_CONTROL]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_CONTROL\
   0000]
   • Service = Remote Control
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = Remote Control

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_REMOTE_CONTROL\0000\
   Control]
   • *NewlyCreated* = dword:00000000

Porte dérobée Le port suivant est ouvert:

– %le fichier exécuté% sur le port UDP 5412 afin de fournir de capacités de porte dérobée En conséquence la possibilité de contrôle à distance est fournie.

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le mardi 11 avril 2006
Description mise à jour par Andrei Gherman le mardi 11 avril 2006

Retour . . . .