Nom:BDS/Agent.FK.2
La date de la découverte:12/09/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:66.560 Octets
Somme de contrôle MD5:8b1989f14257e9a05044d34d94d1af47
Version VDF:6.35.01.215
Version IVDF:6.35.01.219 - mercredi 13 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Agent.fk
   •  TrendMicro: BKDR_AGENT.ETZ
   •  F-Secure: Backdoor.Win32.Agent.fk
   •  Grisoft: BackDoor.Agent.CJW
   •  Eset: Win32/Agent.NBG


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il enregistre les frappes de touche
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

%SYSDIR%\w32setng.dat
%SYSDIR%\Netx1.dat Ce fichier contient des frappes de touche collectés.
%SYSDIR%\Netx2.dat Ce fichier contient des frappes de touche collectés.
%SYSDIR%\Netxk.datQ Ce fichier contient des frappes de touche collectés.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.geocities.com/sbstnrother/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\ngaq.zip Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: paln.fw.**********
Port: 4668
Canal: #net2
Pseudonyme: USA|%système d'exploitation%|%chaîne de caractères aléatoire de quatre digits%

Serveur: srother.kwik.**********
Port: 4669
Canal: #net1
Pseudonyme: USA|%système d'exploitation%|%chaîne de caractères aléatoire de quatre digits%

Serveur: quant.mooo.**********
Port: 4669
Canal: #net3
Pseudonyme: USA|%système d'exploitation%|%chaîne de caractères aléatoire de quatre digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Information sur des processus courants
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Finir le processus
    • Commence le keylog
    • Terminer un processus

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.cnn.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PECompact2

Description insérée par Adriana Popa le vendredi 13 octobre 2006
Description mise à jour par Adriana Popa le vendredi 13 octobre 2006

Retour . . . .