Nome del virus:BDS/Verify.K.1
Scoperto:06/03/2005
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:32.256 Byte
Somma di controllo MD5:e7d155c42fe5e7d13f92e533436c5bda
Versione VDF:6.30.00.225

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Symantec: Backdoor.Verify
   •  Mcafee: BackDoor-CNQ
   •  Kaspersky: Backdoor.Win32.Verify.k
   •  TrendMicro: BKDR_VERIFY.E
   •  F-Secure: BACKDOOR PROGRAM
   •  Grisoft: BackDoor.Small.43.J
   •  Bitdefender: Backdoor.Verify.K


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\pVF.pMK
   • %SYSDIR%\msidle32.exe
   • %root del drive di sistema%\MsBootMgr.exe



Rinomina i seguenti file:

    •  ntldr in loveyou_pTH
    •  msdos.sys in loveyou_pTH.sys



Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\pMK_readme.txt
   • %SYSDIR%\pMK_wLog.txt
   • %SYSDIR%\pMK_kLog.txt
   • %SYSDIR%\pMK_kLogF.txt
   • %SYSDIR%\music.mid

%WINDIR%\smss.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Verify.J.1

%SYSDIR%\MsIdle32Hook.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Verify.H.2

%SYSDIR%\MsIdle32loader.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Verify.K




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • freewebs.com/rhspyx007/**********
   • websamba.com/rhspyx007/**********
   • siteburg.com/download/**********
Viene salvato in locale sotto: %TEMPDIR%\pVF_update.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msidle32.exe"="%SYSDIR%\msidle32.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pVF]
   • "pVF_Version"=dword:0000082e

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\msidle32.exe"="%SYSDIR%\msidle32.exe:*:Enabled:Remote Access"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKCR\CLSID\{319A31D4-9194-41e4-8450-A5F99BD0FA0A}\InprocServer32]
   • @="%SYSDIR%\MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "MsIdle32loader.dll"="{319A31D4-9194-41e4-8450-A5F99BD0FA0A}"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {319A31D4-9194-41e4-8450-A5F99BD0FA0A}]
   • @="MsIdle32loader.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pVF.exe]
   • @="%SYSDIR%\msidle32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
L'indirizzo del mittente è falso.
Il mittente della mail è il seguente:
   • pVF2@pMK.pTH
Il destinatario dell'email è il seguente:
   • pMK29A@yahoo.com


Oggetto:
Il seguente:
   • pVF v2 Report



Corpo dell'email:
I contenuti sono come nel file: pMK_kLog.txt



L’email si presenta come di seguito:


 Invio di messaggi Server MX:
Ha la capacità di contattare uno dei seguenti server MX:
   • smtp.server.localhost
   • mail.eircom.net
   • smtp.wanadoo.fr

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • user
   • system
   • book
   • game
   • pic
   • media
   • download
   • upload
   • share
   • music
   • doc
   • program
   • soft

   Se riuscito, i seguenti file vengono creati:
   • MU Korea new!!.exe; Shower girl.exe; _-_Click_-Me!_.exe; Microsoft
      Office 2003 Crack.exe-_-Secret-_-.exe; ACDSee 8.0 beta.exe; Free
      telephone.exe; I want to say that....exe; Age of Empires new !!!.exe;
      MU online-update.exe; kiss me.jpg.exe; Windows XP update new.exe;
      Mirosoft Windows Longhorn beta test.exe; Monster.jpg.exe; Love
      you....exe; Hack Yahoo! Pass.exe; Linkin' Park.jpg.exe; My
      Diary.doc.exe; Top Secret.exe; Manga news.html.exe; Kid1412.jpg.exe;
      Sherlock Homes.doc.exe; Conan Doyle.jpg.exe; Ichi shinpo.jpg.exe;
      Yahoo! Smiley new !.exe; FiFa WorldCup 2006 Beta.exe; Nero 7.0
      Full.exe; WinRAR 4.0 Full.exe; fun fun fun.exe; Fantasy XII
      Update.exe; Half-Life 2 Update.exe; Windows XP source code.exe; Norton
      Antivirus Update.exe; Spy search and destroy new!.exe; bikini.jpg.exe;
      UFO.doc.exe; The X-files.jpg.exe; XXX-Cindy.jpg.exe; XXX-Britney
      Spears.jpg.exe; Sexy girl.jpg.exe; xxx_Girl.jpg.exe; BinLaden
      PPP.jpg.exefucker.jpg.exe; Sweet Valetine.exe; Love to kick boot.exe;
      Yahoo! Account Cracker.exe; WinAmp 6.0 Full.exe; nude_girl.jpg.exe;
      H.O.T news.html.exe; ZaiZai smileys.jpg.exe; Hillary Duff -
      nude.jpg.exe; Photoshop 9.0 Full.exe; Hot Sexxxxx.avi.exe


 Processi terminati Lista dei processi che vengono terminati:
   • @ZONEALARM.EXE; WEBSCANX.EXE; VSSTAT.EXE; VSHWIN32.EXE; VSECOMR.EXE;
      VSCAN40.EXE; VETTRAY.EXE; VET95.EXE; TDS2-NT.EXE; TDS2-98.EXE;
      TBSCAN.EXE; SWEEP95.EXE; F-STOPW.EXE; SPHINX.EXE; SERV95.EXE;
      SCRSCAN.EXE; SCANPM.EXE; SCAN95.EXE; SCAN32.EXE; SAFEWEB.EXE;
      RESCUE.EXE; RAV7WIN.EXE; RAV7.EXE; F-PROT95.EXE; F-PROT.EXE;
      PERSFW.EXE; PCFWALLICON.EXE; PCCWIN98.EXE; PAVW.EXE; PAVCL.EXE;
      PADMIN.EXE; OUTPOST.EXE; NVC95.EXE; NUPGRADE.EXE; NORMIST.EXE;
      NISUM.EXE; NAVWNT.EXE; NAVNT.EXE; NAVLU32.EXE; NAVAPW32.EXE;
      N32SCANW.EXE; MPFTRAY.EXE; MOOLIVE.EXE; LUALL.EXE; LOOKOUT.EX;
      LOCKDOWN2000.EXE; JEDI.EXE; IOMON98.EXE; IFACE.EXE; ICSUPPNT.EXE;
      ICSUPP95.EXE; ICMON.EXE; ICLOADNT.EXE; ICLOAD95.EXE; IBMAVSP.EXE;
      IBMASN.EXE; IAMSERV.EXE; IAMAPP.EXE; FPROT.EXE; FINDVIRU.EXE;
      ESPWATCH.EXE; ESAFE.EXE; ECENGINE.EXE; DVP95_0.EXE; CLEANER3.EXE;
      CLEANER.EXE; CLAW95CF.EXE; CLAW95.EXE; CFINET32.EXE; CFINET.EXE;
      CFIAUDIT.EXE; CFIADMIN.EXE; BLACKICE.EXE; BLACKD.EXE; AVWUPD32.EXE;
      AVWIN95.EXE; AVSCHED32.EXE; AVPUPD.EXE; AVPTC32.EXE; AVPDOS32.EXE;
      AVNT.EXE; AVKSERV.EXE; AVGCTRL.EXE; AVE32.EXE; AVCONSOL.EXE;
      AUTODOWN.EXE; APVXDWIN.EXE; ANTI-TROJAN.EXE; ACKWIN32.EXE; PVIEW.EXE;
      TASKMGR.EXE; REGEDIT.EXE; MSCONFIG.EXE; D32.EXE; BKAV2002.EXE;
      PAVSCHED.EXE; NMAIN.EXE; NAVW32.EXE; NAVAPSVC.EXENAVAPW32.EXE;
      F-AGNT95.EXE; WFINDV32.EXE; AVPM.EXE; AVPCC.EXE; AVP32.EXE


 Backdoor Le seguenti porte sono aperte:

%file eseguiti% sulla porta TCP 1907 con lo scopo di procurarsi una condivisione remota.
%file eseguiti% sulla porta TCP 1906 con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Il seguente:
   • ftp://ftp22.websamba.**********

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Nome del computer
    • Variabili d'ambiente
    • Nome Utente
    • Informazioni sul sistema operativo Windows


Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Inviare email
    • Inizia keylog
    • Terminare il processo
    • Carica un file

 Sottrazione di informazioni – Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   •  securit
   •  dial
   •  credit
   •  admin
   •  pass
   •  ftp
   •  mail
   •  profile
   •  account
   •  regist
   •  sign
   •  log on
   •  log in
   •  logon
   •  login

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

 Varie Mutex:
Crea il seguente Mutex:
   • ::. Love_you_pTH .::


Stringa:
In più contiene la seguente stringa:
   • ---[ pMK_VeryFun - Written by pMK - (c) 2005]---

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Ionut Slaveanu su mercoledì 3 maggio 2006
Descrizione aggiornata da Ionut Slaveanu su giovedì 4 maggio 2006

Indietro . . . .