BDS/VB.awr.35 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/VB.awr.35
La date de la découverte:	19/03/2007
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	420.299 Octets
Somme de contrôle MD5:	ecf789e622ab53b9761595f51e63423a
Version VDF:	6.38.00.74
Version IVDF:	6.38.00.76

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

L'alias:
   • Kaspersky: Backdoor.Win32.VB.awr
   • F-Secure: Backdoor.Win32.VB.awr

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\scvhost.exe

Les fichiers suivants sont créés:

– Fichier inoffensif:
• %WINDIR%\MSWINSCK.OCX

– %SYSDIR%\offlog.txt Ce fichier contient des frappes de touche collectés.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net

Porte dérobée Serveur de contact:
Le suivant:
• arcrol3**********:1338

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Voir la description brève ici.

Description inséré par Gabriel Mustata sur Fri, 16 Mar 2007 08:46 (GMT+1)
Description mise à jour par Andrei Gherman sur Mon, 26 Mar 2007 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back