Description complète

Nom:	BDS/PcClient.JG
La date de la découverte:	25/12/2005
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	46.439 Octets
Somme de contrôle MD5:	831b22781ea5f2683cf8468f489065c0
Version VDF:	6.33.00.64

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Bitdefender: Backdoor.PcClient.HP

Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\mesqrilw.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.hp.1.B

– %SYSDIR%\mesqrilw.drv Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.kf.1

– %SYSDIR%\drivers\mesqrilw.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.hp.1.C

– %SYSDIR%\mesqrilw.log Ce fichier contient des frappes de touche collectés.

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0

La clé de registre suivante est changée:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   L'ancienne valeur:
   • ServiceDll = %SYSDIR%\sens.dll
   La nouvelle valeur:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

Porte dérobée Serveur de contact:
Le suivant:
• http://dynsev5299.2mydns.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\mesqrilw.dll

    Nom du processus:
   • iexplorer.exe

– Il injecte le fichier suivant dans un processus: %SYSDIR%\mesqrilw.drv

    Nom du processus:
   • iexplorer.exe

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre

– Les fichiers qui contiennent des chaines de signes suivantes dans leur nom de fichier:
   • mesqrilw.

La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le vendredi 21 avril 2006
Description mise à jour par Andrei Gherman le vendredi 21 avril 2006

Retour . . . .