Nume:BDS/Verify.K.1
Descoperit pe data de:06/03/2005
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:32.256 Bytes
MD5:e7d155c42fe5e7d13f92e533436c5bda
Versiune VDF:6.30.00.225

 General Metoda de raspandire:
   • Peer to Peer


Alias:
   •  Symantec: Backdoor.Verify
   •  Mcafee: BackDoor-CNQ
   •  Kaspersky: Backdoor.Win32.Verify.k
   •  TrendMicro: BKDR_VERIFY.E
   •  F-Secure: BACKDOOR PROGRAM
   •  Grisoft: BackDoor.Small.43.J
   •  Bitdefender: Backdoor.Verify.K


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %radacina partitiei Windows%\MsBootMgr.exe



Redenumeste urmatoarele fisiere:

    •  ntldr în loveyou_pTH
    •  msdos.sys în loveyou_pTH.sys



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

– %WINDIR%\smss.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Verify.J.1

– %SYSDIR%\MsIdle32Hook.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Verify.H.2

– %SYSDIR%\MsIdle32loader.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Verify.K




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\pVF_update.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este urmatorul:
   • pVF2@pMK.pTH
Destinatarul mesajului este:
   • pMK29A@yahoo.com


Subiect:
Urmatorul:
   • pVF v2 Report



Corpul email-ului:
Continutul este ca cel din fisierul: pMK_kLog.txt



Email-ul arata astfel:


 Email Server MX:
Se poate conecta la unul dintre serverele MX:
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   Daca reuseste, sunt create urmatoarele fisiere:
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe


 Terminarea proceselor Lista cu procesele oprite:
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE


 Backdoor Deschide porturile:

%fisier executat% pe portul TCP 1907 pentru a crea remote Shell.
%fisier executat% pe portul TCP 1906 pentru a oferi functionalitate de backdoor.


Servere contactate:

   • ftp://ftp22.websamba.**********

Astfel se pot transmite informatii.

Trimte informatii despre:
    • Numele sistemului
    • Variabile de mediu
    • Utilizator
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • trimitere email-uri
    • Porneste keylog
    • terminare proces
    • Face upload la un fisier

 Furt de informatii – O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   •  securit
   •  dial
   •  credit
   •  admin
   •  pass
   •  ftp
   •  mail
   •  profile
   •  account
   •  regist
   •  sign
   •  log on
   •  log in
   •  logon
   •  login

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • ::. Love_you_pTH .::


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Ionut Slaveanu le mercredi 3 mai 2006
Description mise à jour par Ionut Slaveanu le jeudi 4 mai 2006

Retour . . . .