BDS/Cakl.A.1 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Cakl.A.1
La date de la découverte:	15/04/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	324.096 Octets
Somme de contrôle MD5:	9b203ebb193ae3a67d1874ed0062ad22
Version VDF:	6.34.00.187

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Backdoor.Win32.Cakl.a
   • TrendMicro: BKDR_CAKL.D
   • Bitdefender: Trojan.PWS.PdPinch.GA

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\vms32.exe

Les fichiers suivants sont créés:

– %WINDIR%\hkr32.asm Ceci est un fichier texte non malveillant avec le contenu suivant:
• %l'information volée%

– %SYSDIR%\ldapi32.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cakl.A.1

– %SYSDIR%\ntcvx32.dll
– %SYSDIR%\ntswrl32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Cakl.A.2

Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "vms32"="%SYSDIR%\vms32.exe"

Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal]
   • [HKLM\SYSTEM\currentcontrolset\control\safeboot\network]

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\vms32.exe"="%SYSDIR%\vms32.exe:*:Enabled:Dnode"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software]
   • "Denese"="verme.serveftp.**********"
   • "PortNo"="15963"
   • "Kurban"="MANE"
   • "Password"="vermes"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal.xxx]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network.xxx]

Porte dérobée Serveur de contact:
Le suivant:
   • verme.serveftp.**********:15963

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Nom de l'ordinateur
    • Vitesse du CPU
    • Type de CPU
    • Crée de fichiers de journalisation.
    • Les informations rassemblées, décrites dans la section
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Éditer le registre
    • Exécuter un fichier

Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • ICQ
   • Mozilla Firefox
   • Outlook
   • Internet Explorer
   • Windows Messenger
   • MSN Messenger

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

Informations divers Mutex:
Il crée le Mutex suivant:
• TURKO3

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers
– Son propre processus

La méthode utilisée:
• Caché de Windows API

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 03 May 2006 11:27 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Wed, 03 May 2006 16:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back