Nom:BDS/Rukap.BQ
La date de la découverte:13/12/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:82.432 Octets
Somme de contrôle MD5:ad2b75dfc3df41f89a6c100f0e2b7a05
Version VDF:6.35.01.100
Version IVDF:6.35.01.101

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-CZY
   •  Kaspersky: Backdoor.Win32.Rukap.bq
   •  Grisoft: BackDoor.Generic3.HPB
   •  Eset: Win32/Rukap.BQ
   •  Bitdefender: Backdoor.Rukap.BQ


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%le dossier d'exécution du malware%/%le fichier exécuté%"
     "DisplayName"="DirectX Service"
     "ObjectName"="LocalSystem"
     "Description"="Improve the performance of games and multimedia programs"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\DirectRomp]
   • "luko"="%chaîne de caractères aléatoire%"

 Porte dérobée Le port suivant est ouvert:

%le dossier d'exécution du malware%/%le fichier exécuté% sur le port TCP 2773 afin de fonctionner comme serveur proxy Sock 5.


Serveur de contact:
Tous les suivants:
   • http://www.ruspromotion.net/site/**********
   • http://www.clicking2rewards.com/**********
   • http://www.stormpay.com/**********
   • http://www.megacashclicks.net/**********

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.

 Informations divers Anti debugging
Il vérifie si le fichier suivant est présent:
   • SoftIce


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PESpin

Description insérée par Monica Ghitun le mercredi 13 décembre 2006
Description mise à jour par Monica Ghitun le jeudi 21 décembre 2006

Retour . . . .