BDS/Beast202.1 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Beast202.1
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	54.100 Octets
Somme de contrôle MD5:	55ff7e888a996e7eac6416041f4d1e7e

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: BackDoor-AMQ
   • Kaspersky: Backdoor.Win32.Beastdoor.aq
   • F-Secure: W32/Beastdoor.AJ
   • Grisoft: BackDoor.Beastdoor.FG
   • Bitdefender: GenPack:Backdoor.Beastdoor.2.0.2.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\ñsrss.exe
   • %SYSDIR%\mspjgq.com
   • %WINDIR%\msagent\msytdn.com

Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\pjgq.blf

Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {42AC0312-EE51-A3CC-EA32-40AA12E6115C}]
   • "StubPath"="%SYSDIR%\mspjgq.com"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "COM Service"="%WINDIR%\msagent\msytdn.com"

La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   • "ITBarLayout"=%valeurs hexa%

Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKCU\Software\Microsoft\RAS Autodial\Control]
   L'ancienne valeur:
   • "LoginSessionDisable"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "LoginSessionDisable"=dword:00000001

Porte dérobée Le port suivant est ouvert:

– %SYSDIR%\ñsrss.exe sur le port TCP 6666 afin de fournir de capacités de porte dérobée

Serveur de contact:
Le suivant:
   • cdwar.hut1.ru/cgi-bin/baza/user/add/admin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.

Il envoie de l'information au sujet de:
    • Capture d'écran
    • Utilisateur courant
    • L'adresse IP:
    • Le statut courant du malware
    • Port ouvert

Capacités d'accès à distance:
    • Redémarrer le système
    • Arrêter le système

DoS Immédiatement après il devient actif, il commence un attaque DoS vers les destinations suivantes:
• microsoft.com
• nea.fr

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Mon, 06 Feb 2006 11:50 (GMT+1)
Description mise à jour par Daniel Constantin sur Thu, 09 Feb 2006 13:42 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour