DR/Xbot.L - Dropper

A voir aussi

Brève description

Description complète

Statistiques

Nom:	DR/Xbot.L
La date de la découverte:	04/08/2006
Type:	Dropper
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	20.384 Octets
Somme de contrôle MD5:	2188b1bc1342c0824c2f5429678a310C
Version VDF:	6.35.01.46
Version IVDF:	6.35.01.46

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • TrendMicro: BKDR_AGENT.DFT
   • Bitdefender: Dropped:Backdoor.Xbot.L

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\remote.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %SYSDIR%\kernel32.ime Ensuite, il est exécuté après avoir été completment crée. Détecté comme: BDS/Xbot.L

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Enum]
   • "0"="Root\\LEGACY_RPCREMOTE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: KERNEL32.IME

Nom du processus:
• SVCHOST.EXE

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• WinUpack

Voir la description brève ici.

Description inséré par Gabriel Mustata sur Fri, 11 Aug 2006 16:14 (GMT+1)
Description mise à jour par Gabriel Mustata sur Mon, 28 Aug 2006 15:25 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour