Nome del virus:BDS/HacDef.FV.1.A
Scoperto:27/07/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:88.576 Byte
Somma di controllo MD5:f2c34a56a33ee7a22e77a217f5c9e92b
Versione VDF:6.35.01.08
Versione IVDF:6.35.01.08

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-DIZ
   •  Kaspersky: Backdoor.Win32.HacDef.fw
   •  F-Secure: Backdoor.Win32.HacDef.fw
   •  Sophos: Troj/HacDef-DJ
   •  Bitdefender: Backdoor.Hacdef.AG


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directory di esecuzione del malware%\%file eseguiti% /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Enum
   • "0"="Root\LEGACY_SPOOLSVC227\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\SpoolSvc227\Security
   • "Security"=%valori esadecimali%



Viene cambiata la seguente chiave di registro:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valore precedente:
   • "(default)"=dword:0000000d
   Nuovo valore:
   • "(default)"=dword:0000000e

 Backdoor Contatta il server:
Uno dei seguenti:
   • 143.215.**********:447(UDP)
   • 143.215.**********:447(UDP)
   • 207.44.**********:447(UDP)

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.

 Varie Mutex:
Crea il seguente Mutex:
   • 135363240

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Teodor Onisor su lunedì 2 ottobre 2006
Descrizione aggiornata da Teodor Onisor su lunedì 2 ottobre 2006

Indietro . . . .