Nom:BDS/VB.avf
La date de la découverte:29/08/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:48.188 Octets
Somme de contrôle MD5:eecffebb81611d60d3c82748ac84433a
Version VDF:6.35.00.107
Version IVDF:6.35.00.133 - vendredi 7 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer.Lemir
   •  Kaspersky: Backdoor.Win32.VB.avf
   •  TrendMicro: BKDR_VB.SE
   •  VirusBuster: Backdoor.VB.WOM
   •  Bitdefender: Backdoor.VB.ARA


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\SMSS.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\finder.com
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %SYSDIR%\command.pif
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • D:\pagefile.pif



Les fichiers suivants sont créés:

%WINDIR%\BOOT.BIN.BAK
– D:\autorun.inf

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TProgram"="%WINDIR%\SMSS.EXE"



Les clés de registre suivantes sont ajoutée:

– [HKCR\winfiles\DefaultIcon]
   • "(Default)"="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • "(Default)"="%WINDIR%\ExERoute.exe "%1" %*"



Les clés de registre suivantes sont changées:

– [HKCR\.lnk\ShellNew]
   La nouvelle valeur:
   • "command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe 1"

– [HKCR\.bfc\ShellNew]
   La nouvelle valeur:
   • "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32syncui.dll,Briefcase_Create %2!d! %1"

– [HKCR\cplfile\shell\cplopen\command]
   La nouvelle valeur:
   • "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– [HKCR\dunfile\shell\open\command]
   La nouvelle valeur:
   • "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKCR\htmlfile\shell\Print\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Microsoft Office\Office10\msohtmed.exe" /p %1"

– [HKCR\inffile\shell\Install\command]
   La nouvelle valeur:
   • "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– [HKCR\InternetShortcut\shell\open\command]
   La nouvelle valeur:
   • "(Default)"="finder.com shdocvw.dll,OpenURL %l"

– [HKCR\scrfile\shell\install\command]
   La nouvelle valeur:
   • "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"

– [HKCR\scriptletfile\Shell\Generate Typelib\command]
   La nouvelle valeur:
   • "(Default)"=""%SYSDIR%\finder.com" %WINDIR%\System32scrobj.dll,GenerateTypeLib "%1""

– [HKCR\telnet\shell\open\command]
   La nouvelle valeur:
   • "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"

– [HKCR\Unknown\shell\openas\command]
   La nouvelle valeur:
   • "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKCR\htmlfile\shell\open\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\htmlfile\shell\opennew\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   La nouvelle valeur:
   • "(Default)"=""%PROGRAM FILES%\Common Files\iexplore.pif" -nohome"

– [HKCR\Drive\shell\find\command]
   La nouvelle valeur:
   • "(Default)"="%SystemRoot%\explorer.com"

– [HKCR\.exe]
   La nouvelle valeur:
   • "(Default)"="winfiles"

 Arrêt de processus: La liste des processus qui sont terminés:
   • CCENTER%chaîne de caractères aléatoire%; ASSISTSE%chaîne
      de caractères aléatoire%; KPFW%chaîne de caractères
      aléatoire%; AGENTSVR%chaîne de caractères aléatoire%;
      KV%chaîne de caractères aléatoire%; KREG%chaîne de
      caractères aléatoire%; IEFIND%chaîne de caractères
      aléatoire%; IPARMOR%chaîne de caractères aléatoire%;
      SVI.EXE; UPHC%chaîne de caractères aléatoire%;
      RULEWIZE%chaîne de caractères aléatoire%; FYGT%chaîne de
      caractères aléatoire%; RFWSRV%chaîne de caractères
      aléatoire%; RFWMA%chaîne de caractères aléatoire%


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le mardi 29 août 2006
Description mise à jour par Monica Ghitun le vendredi 24 novembre 2006

Retour . . . .