Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Cycbot.B.735
La date de la dcouverte:26/11/2010
Type:Serveur porte drobe
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:190.976 Octets
Somme de contrle MD5:035D0EAC0267B776C68157A9F5E06F33
Version VDF:7.10.06.152
Version IVDF:7.10.14.113 - vendredi 26 novembre 2010

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Gbot.hgd
   •  TrendMicro: BKDR_CYCBOT.SMIB
     Microsoft: Backdoor:Win32/Cycbot.B


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\csrss.exe



Le fichier suivant est modifi :
   • %APPDATA%\Mozilla\Firefox\Profiles\f81lb9un.default\prefs.js
En consquence, diffrents mcanismes de scurit sont dsactivs.



Le fichier suivant est cr:

%APPDATA%\A896.542 Contient des paramtres employ par le malware

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HCKU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%TEMPDIR%\csrss.exe"



La cl de registre suivante est ajoute:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



La cl de registre suivante est change:

Il rduit les rglages de scurit d'Internet Explorer

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%nombre%"

 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • Avast
   • Avira
   • Dr.Web
   • Kaspersky
   • McAfee
   • ESET NOD32
   • Norton
   • BitDefender


 Porte drobe Les ports suivants sont ouverts:

%le fichier excut% sur un port TCP alatoire afin de fonctionner comme serveur proxy.
%le fichier excut% sur un port TCP alatoire afin de fournir de capacits de porte drobe

 Vol d'informations  Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • .2mdn.; .abmr.; .adtechus.; .aol.; .atdmt.; .atwola.;
      .autodatadirect.; .bing.net; .dartsearch.; .doubleclick.; .ggpht.;
      .google; .ivwbox.; .mapquestapi.; .microsoft.; .opera.; .tacoda.;
      .thawte.; .tlowdb.; .truveo.; .virtualearth.; .wsod.; .yimg.com;
      .ypcdn.; amazon.; aol/search; aolcdn.; aolsvc.; bing.com;
      bing.com/search; blogger; brightcove.com; doubleclick.; ebay.; err069;
      facebook.; flickr; google-analytics.; google.; googlesyndication.;
      googleusercontent.; gstatic.; imdb.; mapq.st; scorecardresearch.com;
      search.aol.; search.yahoo.com/search; searcht2.aol.; start=; start=0;
      suche.aol.; twitter.; wikimedia.; wikipedia.; yahoo.; yahoo.com;
      youtube.; ytimg.
     Trafic Internet

 Informations divers Accde des ressources Internet:
   • http://bigbadhead.**********/blog/images/%nombre%.jpg;
      http://crazyleafdesign.**********/blog/images/share/facebook.png;
      http://crazyleafdesign.**********/blog/images/share/stumble.png;
      http://ddossecureonline.**********/blog/images/%nombre%.jpg;
      http://folusho.**********/wp-content/uploads/2010/09/web-20-what-is-300x251.jpg;
      http://freeservermonitorings.**********/blog/images/%nombre%.jpg;
      http://freewhoisdb.**********/blog/images/%nombre%.jpg;
      http://fxsystemsone.**********/blog/images/%nombre%.jpg;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be1;
      http://gravatar.**********/avatar.php?gravatar_id=f2a3889aff6fc9711a3cbcfe64067be2;
      http://greenherbalteaonline.**********/images/greenherbalteagirlholdingcup250.gif;
      http://healthylifenow.**********/templates/7348/images/header_logo.jpg;
      http://healthylifenow.**********/templates/7349/images/header_logo.jpg;
      http://hlamidioz.**********/blog/images/%nombre%.jpg;
      http://hollandandbarrett.**********/images/footer/account.gif;
      http://hollandandbarrett.**********/images/footer/account.jpg;
      http://itshopsonline.**********/blog/images/%nombre%.jpg;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-1.gif;
      http://japanesegreenteaonline.**********/assets/images/greentea-cha-2.gif;
      http://killprocessoffline.**********/blog/images/%nombre%.jpg;
      http://laporoskopia.**********/blog/images/%nombre%.jpg;
      http://myonlinefreelibrarry.**********/blog/images/%nombre%.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_1_.jpg;
      http://nationsautoelectric.**********/images/50-217-1_F_2_.jpg;
      http://onlinebizdirectory.**********/images/PowerHideBanner.gif;
      http://onlinebizdirectory.**********/images/PowerShowBanner.gif;
      http://psfk.**********/img/icons/facebook.png;
      http://psfk.**********/img/icons/twitter.png;
      http://realsoftwaredevelopment.**********/WindowsLiveWriter/web-2_0_thumb_1.gif;
      http://repairshampoo.**********/blog/images/%nombre%.jpg;
      http://sambukaclubonline.**********/blog/images/%nombre%.jpg;
      http://securityshllsonline.**********/blog/images/%nombre%.jpg;
      http://sslprogrammingshool.**********/blog/images/%nombre%.jpg;
      http://lostpropaganda.**********/blog/pics/3321.jpg;
      http://lostpropaganda.**********/blog/pics/3322.jpg;
      http://monochrom.**********/polytheism/pictures/TanzenderShiva.jpg

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le jeudi 4 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.