BDS/VB.agz - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/VB.agz
La date de la découverte:	24/12/2005
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	30.720 Octets
Somme de contrôle MD5:	65a87b2a54e20C6a2f2a097f0A45a39c
Version VDF:	6.33.00.63

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: Keylog-Sters
   • Kaspersky: Backdoor.Win32.VB.agz
   • F-Secure: W32/Backdoor.HPK
   • VirusBuster: trojan Backdoor.VB.EAX

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée un fichier
   • Il modifie des registres

Fichiers Il supprime sa propre copie, exécutée initialement

Il supprime le fichier suivant:
   • %cookies%\*.txt

Le fichier suivant est créé:

– %le dossier d'exécution du malware%\%le fichier exécuté%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • %paramètre introduit%/%paramètre introduit%.dll
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%%paramètre introduit%.dll Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • %paramètre introduit%/smss.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\smss.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initSmss"="0"
   • "initInstalled"="%random date%"
   • "initCount"="0"
   • "initNotAlive"="0"
   • "initID"="%le nom de l'ordinateur%-%plusieurs nombres aléatoires de 0 à 9%"
   • "initRegion"="other"
   • "initIP"="no_ip"
   • "initURLHTTP"="%paramètre introduit%/"
   • "initWWW4FTPupdate"="%paramètre introduit%?other"
   • "initWWW4FTPbackup"="%paramètre introduit%?other"
   • "initWWW4FileRedir"="%paramètre introduit%"
   • "initMajorVersion"="%paramètre introduit%"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1E6CE4CD-161B-4847-B8BF-E2EF72299D69}]
   • "@"=" "

Porte dérobée Serveur de contact:
Le suivant:
   • %paramètre introduit%

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Utilisateur courant
    • L'adresse IP:
    • Le statut courant du malware

Capacités d'accès à distance:
    • Télécharger un fichier
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 10 Jan 2006 10:15 (GMT+1)
Description mise à jour par Daniel Constantin sur Tue, 10 Jan 2006 15:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour