Nom:BDS/Mirc-based.K.5
La date de la découverte:23/12/2008
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:782.336 Octets
Somme de contrôle MD5:375306f0f224df1542b0343d5756b8a5
Version IVDF:7.01.01.27 - mardi 23 décembre 2008

 Général Méthode de propagation:
   • Infects files (fr)


Les alias:
   •  Mcafee: W32/Virut.gen
   •  Sophos: W32/Vetor-A
   •  Panda: W32/Virutas.gen
   •  Eset: Win32/Virut.Q
   •  Bitdefender: IRC-Worm.Generic.4269


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Infects files (fr)
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

%PROGRAM FILES%\mIRC\IRC Bot\control.ini
%PROGRAM FILES%\mIRC\IRC Bot\remote.ini
%PROGRAM FILES%\mIRC\IRC Bot\svchost.exe
%PROGRAM FILES%\mIRC\IRC Bot\Anjing_Malingsia.sys
%PROGRAM FILES%\mIRC\IRC Bot\Stupid.sys
%PROGRAM FILES%\Microsoft Office
%PROGRAM FILES%\mIRC\IRC Bot\fuck.sys
%PROGRAM FILES%\mIRC\IRC Bot\kontol.mrc
%PROGRAM FILES%\mIRC\IRC Bot\perampok_budaya.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Anjing.sys
%PROGRAM FILES%\mIRC\IRC Bot\Channel_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Nama_Babi.sys
%PROGRAM FILES%\mIRC\IRC Bot\Asshole.sys

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\WINWORD.EXE"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   • "AntiVirusDisableNotify"=dword:0x00000001
   • "AntiVirusOverride"=dword:0x00000001
   • "FirewallDisableNotify"=dword:0x00000001
   • "FirewallOverride"=dword:0x00000001
   • "FirstRunDisabled"=dword:0x00000001
   • "UpdatesDisableNotify"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   La nouvelle valeur:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Classes\exefile]
   La nouvelle valeur:
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000000
   • "DefaultValue"=dword:0x00000000
   • "UncheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   La nouvelle valeur:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   La nouvelle valeur:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • "load"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   La nouvelle valeur:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   La nouvelle valeur:
   • "Start"=dword:0x00000004
   • "Type"=dword:0x00000004

 Infecteur Infector type: (fr)

Appender (fr)
– Infector modifies last section (fr)


Self Modification (fr)

Infector polymorphic (fr)


Méthode:

Cet infecteur direct cherche activement des fichiers pour les infecter

Ce virus reste actif dans la mémoire.


Infection Length (fr)

- 11.264 Octets


The following file is infected (S) (fr)

By file type (fr)
   • .exe

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: proxim.irc**********.pl
Port: 80
Canal: &virtu
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: srv201.cy**********.name
Port: 80
Canal: &virtu
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: 60.190.2**********.1**********
Port: 80
Canal: &virtu
Pseudonyme: %chaîne de caractères aléatoire%

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

    Nom du processus :
   • winlogon.exe



– Il injecte une routine porte dérobée dans un processus:

    Nom du processus :
   • %tous les processus en exécution"


 La technologie Rootkit  Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • NtCreateFile
   • NtOpenFile
   • NtCreateProcess
   • NtCreateProcessEx

Description insérée par Petre Galan le lundi 22 mars 2010
Description mise à jour par Petre Galan le mercredi 24 mars 2010

Retour . . . .