Nume:BDS/Agent.adqk
Descoperit pe data de:11/02/2009
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:522.240 Bytes
MD5:8bb79f893731b93813a09091137908fc
Versiune IVDF:7.01.02.06 - mercredi 11 février 2009

 General Metode de raspandire:
   • Functia autorun
   • Reteaua locala
   • Messenger


Alias:
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/AutoRun.Agent.JD
   •  Bitdefender: Trojan.Generic.1704532


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\wmiprvse.exe
   • %unitate disc%\RECYCLER\%CLSID%\openfiles.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\RECYCLER\%CLSID%\Desktop.ini

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMIMGIN]
   • "Description"="Provides control and info about management."
   • "DisplayName"="WMI Management App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,53,00,65,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmiprvse.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– MSN Messenger

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand primul octet din propria adresa. Apoi incearca sa contacteze adresele create.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: sec.re**********.info
Port: 8085
Parola serverului: 3v1l$
Canal: #sploit
Nick: [00|USA|XP|%numar%]


– In plus, poate efectua urmatoarele operatii:
    • executarea unui fisier
    • Scaneaza reteaua
    • oprierea sistemului
    • Se actualizeaza singur

 Backdoor Deschide portul

– explorer.exe pe portul TCP 33097 pentru a functiona ca server HTTP.

 Alte informatii Metode anti-debugging
Verfica daca exista unul din urmatoarele fisiere:
   • \\.\SICE
   • \\.\NTICE


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le jeudi 25 février 2010
Description mise à jour par Petre Galan le vendredi 26 février 2010

Retour . . . .