Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Bifrose.dxus
La date de la dcouverte:21/06/2011
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:154.124 Octets
Somme de contrle MD5:32BCC9CA9A4889C6D583F53F3B5F67D5
Version VDF:7.11.10.42 - mardi 21 juin 2011
Version IVDF:7.11.10.42 - mardi 21 juin 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Symantec: W32.IRCBot.NG
   •  Kaspersky: Backdoor.Win32.Bifrose.dxus
     Microsoft: Worm:Win32/Dorkbot.A


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement

 Registre La cl suivante est en permanence ajoute aux registres, dans une boucle infinie, afin de lancer le processus aprs le redmarrage.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chane de caractres alatoire%.exe"

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: **********smynew2.info
Port: 1863
Canal: %chane de caractres alatoire%

Serveur: **********smynew.info
Port: 1863
Canal: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
     Dmarrer une routine de propagation

 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • APVXDWIN.EXE; AVENGINE.EXE; AVGNT; AVGUARD; AVGUARD.EXE; AVP.EXE;
      F-PROT95; FAMEH32; FSGK32; FSMA32; ISSVC; KAVPF; MCAGENT; MCUPDATE;
      NOD32; PAVFNSVR; PAVSRV; PCTAV; PSIMSVC; VRMONNT; VSSERV


 Porte drobe Le port suivant est ouvert:
sur le port TCP 445 En consquence il peut envoyer de l'information et fournir d'accs distance.

 Informations divers Accde des ressources Internet:
   • api.wipmania.com


Anti debugging
Il vrifie les programmes en excution qui contient une des chane de caractres suivantes:
   • FILEMON
   • FSAUA
   • OLLYDBG
   • REGMON


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le jeudi 6 octobre 2011
Description mise à jour par Andrei Ilie le lundi 10 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.