Nome del virus:BDS/Improg.2
Scoperto:03/01/2006
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:39.423 Byte
Somma di controllo MD5:886f3af525142488e4ad06a812755af5
Versione VDF:6.29.00.9

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-CEP
   •  Kaspersky: Backdoor.Win32.Bifrose.kt
   •  TrendMicro: BKDR_BIFROSE.CI

 File Si copia alla seguente posizione:
   • %SYSDIR%\nerodll.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed COmPonents\
   {8B75D81C-C498-4935-C5D1-43AA4DB90836}]
   • stubpath = %SYSDIR%\nerodll.exe s



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Wget]
   • nck=hex:93,4e,16,04,67,03,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,32,2d,60,b4,3c,2a,5e,33,34,72,00

– [HKCU\SOFTWARE\Wget]
   • klg = hex:00

 Backdoor Contatta il server:
Il seguente:
   • flashflashmx.3322.org

Come risultato viene fornita la capacità di controllare da remoto.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Un processo registrato alla seguente riga del codice di registro:
   • [HKLM\SOFTWARE\Classes\HTTP\shell\open\Command]

   Se il malware fallisce prosegue la sua esecuzione come processo.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Gherman su martedì 3 gennaio 2006
Descrizione aggiornata da Andrei Gherman su lunedì 20 febbraio 2006

Indietro . . . .