Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Agent.225280
La date de la dcouverte:20/07/2010
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:225.280 Octets
Somme de contrle MD5:9D54DAC390CCC67FFE0F6D57728B27D4
Version VDF:7.10.04.34
Version IVDF:7.10.09.138 - mardi 20 juillet 2010

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  TrendMicro: TROJ_BUZUS.AVM
   •  Sophos: Mal/Ainslot-B
     Microsoft: Worm:Win32/Ainslot.A


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\taskhost.exe



Le fichier suivant est cr:

%APPDATA%\data.dat Ce fichier contient des frappes de touche collects.

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsDefender"="%APPDATA%\taskhost.exe"

  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5E38CBEB-C1A7-CB2F-19AF-729FCEDAAA06}]
   • "StubPath"="%APPDATA%\taskhost.exe"

  [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {5E38CBEB-C1A7-CB2F-19AF-729FCEDAAA06}]
   • "StubPath"="%APPDATA%\taskhost.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "BCVT4V1PVD"="ZBOTNETkillz"

[HKCU\Software\VB and VBA Program Settings\INSTALL\DATE]
   • "BCVT4V1PVD"="%la date courante%"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier excut%"="%le fichier excut%:*:Enabled:Windows Messanger"
   • "%APPDATA%\taskhost.exe"="%APPDATA%\taskhost.exe:*:Enabled:Windows Messanger"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

 Porte drobe Serveur de contact:
Le suivant:
   • ekinox.no-ip.**********:3060

En consquence il peut envoyer de l'information et fournir d'accs distance.

Il envoie de l'information au sujet de:
     Capture d'cran
     Information sur le systme d'exploitation Windows


Capacits d'accs distance:
     Commence le keylog
     Visiter un site web

 Vol d'informations  Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • bankofamerica.com
   • facebook.com

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • explorer.exe


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Andrei Ilie le jeudi 28 juillet 2011
Description mise à jour par Andrei Ilie le jeudi 4 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.