Nume:BDS/PcClient.JG
Descoperit pe data de:25/12/2005
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:46.439 Bytes
MD5:831b22781ea5f2683cf8468f489065c0
Versiune VDF:6.33.00.64

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Bitdefender: Backdoor.PcClient.HP


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\mesqrilw.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.hp.1.B

– %SYSDIR%\mesqrilw.drv Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.kf.1

– %SYSDIR%\drivers\mesqrilw.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.hp.1.C

– %SYSDIR%\mesqrilw.log Acest fisier stocheaza datele introduse de utilizator la tastatura.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   Vechea valoare:
   • ServiceDll = %SYSDIR%\sens.dll
   Noua valoare:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

 Backdoor Servere contactate:
Urmatorul:
   • http://dynsev5299.2mydns.com/**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\mesqrilw.dll

    Numele procesului:
   • iexplorer.exe



–  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\mesqrilw.drv

    Numele procesului:
   • iexplorer.exe


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces
– Propriile chei de registru

– Fisiere ale caror nume contin stringul:
   • mesqrilw.


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le vendredi 21 avril 2006
Description mise à jour par Andrei Gherman le vendredi 21 avril 2006

Retour . . . .