Nom:BDS/Glecia.D
La date de la découverte:20/10/2009
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:61.440 Octets
Somme de contrôle MD5:3b2064e0b51f242d1955cb402653201c
Version IVDF:7.01.06.126 - mardi 20 octobre 2009

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Packed.Win32.Krap.x
   •  F-Secure: Packed.Win32.Krap.x
   •  Eset: Win32/Kryptik.AWF


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers %SYSDIR%\sys.dat Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Glecia.A

%SYSDIR%\bhdvgtueyitf.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Glecia.A

– c:\%le dossier d'exécution du malware%\sys.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKCR\CLSID\{%CLSID%}\InProcServer32]
   • "(Default)"=hex(2):%valeurs hexa%
   • "ThreadingModel"="Apartment"



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • ^%\E$@@
   • n%^a&^()%b
   • (^$%l%(^%$e(^& ^%\
   • $%r$$^%o$
   • (%w@$%
   • $s%^^%$e%^(()(*& %
   • E*&^&x$(%%t%$
   • $@e^^%@(n
   • $%s))
   • %i*^o$%$^$^n(&*s(%^&="yes"

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • DHL service. Please get your parcel. Delivery NR.163400



Corps:
Le corps de l'email est une des lignes:
   • Hello!
   •
   • The courier company was not able to deliver your parcel by your address.
   • Cause: Error in shipping address.
   •
   • You may pickup the parcel at our post office personaly!
   •
   • Please note!
   • The shipping label is attached to this e-mail.
   • Please print this label to get this package at our post office.
   •
   •
   • Thank you for attention.
   • DHL Global Forwarding Services.


Pièce jointe:
Le nom de fichier de l'attachement est:
   • DHL_package_label_6f1aa.zip

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Tobias Gruber le mardi 20 octobre 2009
Description mise à jour par Philipp Wolf le mardi 20 octobre 2009

Retour . . . .