Nom:BDS/PcClient.JG
La date de la découverte:25/12/2005
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:46.439 Octets
Somme de contrôle MD5:831b22781ea5f2683cf8468f489065c0
Version VDF:6.33.00.64

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Bitdefender: Backdoor.PcClient.HP


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\mesqrilw.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.hp.1.B

%SYSDIR%\mesqrilw.drv Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.kf.1

%SYSDIR%\drivers\mesqrilw.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/PcClient.hp.1.C

%SYSDIR%\mesqrilw.log Ce fichier contient des frappes de touche collectés.



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0



La clé de registre suivante est changée:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   L'ancienne valeur:
   • ServiceDll = %SYSDIR%\sens.dll
   La nouvelle valeur:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

 Porte dérobée Serveur de contact:
Le suivant:
   • http://dynsev5299.2mydns.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\mesqrilw.dll

    Nom du processus:
   • iexplorer.exe



–  Il injecte le fichier suivant dans un processus: %SYSDIR%\mesqrilw.drv

    Nom du processus:
   • iexplorer.exe


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers
– Son propre processus
– Ses propres clés de registre

– Les fichiers qui contiennent des chaines de signes suivantes dans leur nom de fichier:
   • mesqrilw.


La méthode utilisée:
    • Caché de Windows API

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le vendredi 21 avril 2006
Description mise à jour par Andrei Gherman le vendredi 21 avril 2006

Retour . . . .