Description complète

Nom:	BDS/Ciadoor.BO
La date de la découverte:	30/07/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen à élevé
Fichier statique:	Oui
Taille du fichier:	1.218.748 Octets
Somme de contrôle MD5:	655e5c9ea699d5ead17ad63529e09fe7
Version VDF:	6.35.1.21
Version IVDF:	6.35.1.21

Général Les alias:
   • Kaspersky: Backdoor.Win32.Ciadoor.bo
   • Bitdefender: Backdoor.Ciadoor.FA

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\tz2L7ah3Pa.ini
   • %SYSDIR%\Directx.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %SYSDIR%\del32.bat

– %SYSDIR%\drivers\oreans32.sys
– %SYSDIR%\wsock32.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Ciadoor.13.B

– %SYSDIR%\ckl009.dat Ce fichier contient des frappes de touche collectés.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "Generic Host Process"="%SYSDIR%\directx.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"
   •

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • "%SYSDIR%\DirectX.exe"="%SYSDIR%\directx.exe"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "shell"="Explorer.exe %SYSDIR%\DirectX.exe"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
   • Generic Host Process"="%SYSDIR%\DirectX.exe"

Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices
   • "Generic Host Process"="%SYSDIR%\DirectX.exe"

La valeur de la clé de registre suivante est supprimée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Il enregistre un objet d'aide du navigateur en ajoutant la clé suivante:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Les clés de registre suivantes sont ajoutée:

– HKCR\N.Cs4\Clsid
   • "(Default)"="{E14DCE67-8FB7-4721-8149-179BAA4D792C}"

– HKCR\N.Cs4
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION
   • "(Default)"="3.0"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib]
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID
   • "(Default)"="N.Cs4"

– HKCR\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
   • "(Default)"="N.Cs4"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib
   • "Version"="3.0"
   • "(Default)"="{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
   • "(Default)"="Cs4"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR
   • "(Default)"="%SYSDIR%"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32
   • "(Default)"="%SYSDIR%\wsock32.sys"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0
   • "(Default)"="N"

– HKCU\Software\VB and VBA Program Settings\set\set
   • "set"="tz2L7ah3Pa.ini"

– HKLM\SYSTEM\ControlSet003\Services\Messenger
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\ATS
   • "Start"=dword:00000000

– HKCU\Software\Policies\Microsoft\Windows\System
   • "DisableCMD"=dword:00000001

– HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
   • "Disabled"=dword:00000000

– HKCR\..DlI
   • "(Default)"="exefile"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%SYSDIR%\DirectX.exe"

– HKLM\SYSTEM\ControlSet001\Services\SENS
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\SENS
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet003\Services\SENS
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Nla
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\Nla
   La nouvelle valeur:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet003\Services\Nla
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\Messenger
   La nouvelle valeur:
   • "Start"=dword:0000000

– HKLM\SYSTEM\ControlSet002\Services\Messenger
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet001\Services\ATS
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKLM\SYSTEM\ControlSet002\Services\ATS
   La nouvelle valeur:
   • "Start"=dword:00000000

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   L'ancienne valeur:
   • "load"=""
   La nouvelle valeur:
   • "load"="%SYSDIR%\DirectX.exe"

Infection du réseau La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Porte dérobée Serveur de contact:
Le suivant:
   • doener.no-ip.**********:314

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Capture d'écran
    • Capture de web caméra
    • Utilisateur courant
    • Information sur des processus courants
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Changer dossier
    • Copier fichier
    • Supprime le fichier
    • Listage dossier
    • Il affiche un message
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Deplacer fichier
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Charger un fichier

Vol d'informations Il essaie de voler l'information suivante:

– Il capture:
• Frappes de touche
• Fenêtre d'information

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\wsock32.sys

– Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • %PROGRAM FILES%\Internet Explorer\IEXPLORER.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

Informations divers Anti debugging
S'il réussit, il affiche ce qui suit et il s'arrête immédiatement après:

La technologie Rootkit Il cache les suivants:
– Ses propres clés de registre

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Bogdan Iliuta le lundi 31 juillet 2006
Description mise à jour par Bogdan Iliuta le vendredi 4 août 2006

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils