BDS/Wollf.A.89 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Wollf.A.89
La date de la découverte:	06/06/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	60.252 Octets
Somme de contrôle MD5:	f008512047da8d50c0967f45b61e9c8f
Version VDF:	6.34.01.191
Version IVDF:	6.34.01.197 - Wed, 07 Jun 2006 12:55 (GMT+1)

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: BackDoor-ABM
   • Kaspersky: Backdoor.Win32.Wollf.a
   • TrendMicro: BKDR_WOLLF.AC
   • Eset: Win32/Wollf.16
   • Bitdefender: Backdoor.Wollf.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\nvicli.exe

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Novell WebClient
   • "Type"=dword:00000120
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvicli.exe"
   • "DisplayName"="Novell WebClient Service"
   • "ObjectName"="LocalSystem"

Porte dérobée Le port suivant est ouvert:

– %SYSDIR%\nvicli.exe sur le port TCP 24 afin de fournir de capacités de porte dérobée En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Espace libre sur le disque dur
    • Mémoire libre
    • Hardware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Répertoire de système
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Changer dossier
    • Copier fichier
    • Supprime le fichier
    • Listage dossier
    • Il affiche un message
    • Télécharger un fichier
    • Edition fichier
    • Éditer le registre
    • Exécuter un fichier
    • Finir le processus
    • Deplacer fichier
    • Ouvrir une ligne de commande à distance
    • Opérer la redirection d'un certain port
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Commence le keylog
    • Terminer un processus
    • Visiter un site web

Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
• Wollf Remote Manager

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Irina Boldea sur Thu, 03 Aug 2006 09:04 (GMT+1)
Description mise à jour par Irina Boldea sur Thu, 03 Aug 2006 09:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back