Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Bifrose.dxus
La date de la découverte:21/06/2011
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:154.124 Octets
Somme de contrôle MD5:32BCC9CA9A4889C6D583F53F3B5F67D5
Version VDF:7.11.10.42 - mardi 21 juin 2011
Version IVDF:7.11.10.42 - mardi 21 juin 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Symantec: W32.IRCBot.NG
   •  Kaspersky: Backdoor.Win32.Bifrose.dxus
   •  Microsoft: Worm:Win32/Dorkbot.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="C:\Documents and Settings\%le nom d'utilisateur courant%\Application Data\%chaîne de caractères aléatoire%.exe"

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********smynew2.info
Port: 1863
Canal: %chaîne de caractères aléatoire%

Serveur: **********smynew.info
Port: 1863
Canal: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Démarrer une routine de propagation

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • APVXDWIN.EXE; AVENGINE.EXE; AVGNT; AVGUARD; AVGUARD.EXE; AVP.EXE;
      F-PROT95; FAMEH32; FSGK32; FSMA32; ISSVC; KAVPF; MCAGENT; MCUPDATE;
      NOD32; PAVFNSVR; PAVSRV; PCTAV; PSIMSVC; VRMONNT; VSSERV


 Porte dérobée Le port suivant est ouvert:
sur le port TCP 445 En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 Informations divers Accède à des ressources Internet :
   • api.wipmania.com


Anti debugging
Il vérifie les programmes en exécution qui contient une des chaîne de caractères suivantes:
   • FILEMON
   • FSAUA
   • OLLYDBG
   • REGMON


 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le jeudi 6 octobre 2011
Description mise à jour par Andrei Ilie le lundi 10 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.