Nume:BDS/PcClient.JG
Descoperit pe data de:25/12/2005
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:46.439 Bytes
MD5:831b22781ea5f2683cf8468f489065c0
Versiune VDF:6.33.00.64

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Bitdefender: Backdoor.PcClient.HP


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\mesqrilw.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.hp.1.B

– %SYSDIR%\mesqrilw.drv Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.kf.1

– %SYSDIR%\drivers\mesqrilw.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/PcClient.hp.1.C

– %SYSDIR%\mesqrilw.log Acest fisier stocheaza datele introduse de utilizator la tastatura.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw]
   • Type = 1
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\drivers\mesqrilw.sys
   • DisplayName = mesqrilw

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\mesqrilw\Enum]
   • 0 = Root\\LEGACY_MESQRILW\\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESQRILW\0000]
   • Service = mesqrilw
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = mesqrilw
   • Capabilities = 0



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
   Vechea valoare:
   • ServiceDll = %SYSDIR%\sens.dll
   Noua valoare:
   • ServiceDll = %SYSDIR%\mesqrilw.dll

 Backdoor Servere contactate:
Urmatorul:
   • http://dynsev5299.2mydns.com/**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\mesqrilw.dll

    Numele procesului:
   • iexplorer.exe



–  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\mesqrilw.drv

    Numele procesului:
   • iexplorer.exe


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere
– Propriul proces
– Propriile chei de registru

– Fisiere ale caror nume contin stringul:
   • mesqrilw.


Metoda folosita:
    • Ascuns de Windows API

Se ataseaza la urmatoarele functii API:
   • NtDeviceIoControlFile/ZwDeviceIoControlFile
   • NtEnumerateKey/ZwEnumerateKey
   • NtOpenKey/ZwOpenKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/ZwQuerySystemInformation

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Gherman su venerdì 21 aprile 2006
Descrizione aggiornata da Andrei Gherman su venerdì 21 aprile 2006

Indietro . . . .