Nom:BDS/HacDef.FV.1.A
La date de la découverte:27/07/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:88.576 Octets
Somme de contrôle MD5:f2c34a56a33ee7a22e77a217f5c9e92b
Version VDF:6.35.01.08
Version IVDF:6.35.01.08

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-DIZ
   •  Kaspersky: Backdoor.Win32.HacDef.fw
   •  F-Secure: Backdoor.Win32.HacDef.fw
   •  Sophos: Troj/HacDef-DJ
   •  Bitdefender: Backdoor.Hacdef.AG


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%le dossier d'exécution du malware%\%le fichier exécuté% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%valeurs hexa%



La clé de registre suivante est changée:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   L'ancienne valeur:
   • "(default)"=dword:0000000d
   La nouvelle valeur:
   • "(default)"=dword:0000000e

 Porte dérobée Serveur de contact:
Un des suivants::
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • 135363240

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Teodor Onisor le lundi 2 octobre 2006
Description mise à jour par Teodor Onisor le lundi 2 octobre 2006

Retour . . . .